云安全问题你考虑了吗?
由于在企业内部维护硬件和软件价格昂贵,于是将企业IT架构交给云计算也成了顺理成章的事情。主要的优势包括:当IT架构作为互联网服务提供给你时,你不再需要有专业知识或者对其进行控制,你只要把所有东西交给云计算就可以了,并且价格很实惠。但是,如同所有新技术一样,太多人部署云计算方案,以至于还没来得及考虑云安全问题。
福特汽车公司的安全顾问兼高级web设计架构师Matt Schneider
我对于云安全问题非常感兴趣,目前我们正在开发一种web应用程序,用来向大众提供安全的电子邮件、聊天、留言板和协作的平台,同时我们网络和数据库服务器中的所有内容都是用强大的加密功能和密钥进行保护。
作为web开发人员,我很清楚开发人员会鼓吹自己已经尽全力去保护用户数据了,虽然只是将用户数据以纯文本形式存储在共享网站。在大多数情况下,你的个人信息对于其他人以及你所访问的网站而言都是没有价值的,人们总是过于信任web应用程序,将自己的信息都暴露在上面。
大部分互联网数据都是不重要的数据,这些数据也很少会被偷窃或破坏,但是也难免出现这样的情况,我们在论坛或者聊天工具中谈论机密信息,而碰巧被某些人截获。到底普通用户对于云计算有多关注呢?可能大部分人都没有想过云计算,就像最近Facebook和Twitter发生的攻击事故,如果用户真的担心信息安全问题,就应该停止使用这些平台。
对于一个网站而言,尤其是那些用户透露重要个人信息的网站,是否安全主要可以从以下几个方面体现:
• SSL连接
• 信誉认证(如 Verisign和 GeoTrust认证等0)
• 多个信誉认证(Verisgn、McAffee和BBB等)
• 可信的公司名
• 广泛宣传
• 媒体推荐
• 大量用户群体
我认为以上条件基本可以确定某个网站是否能够保护客户的重要信息。通常用户会根据自己的判断而信任某个网站能够保护他们的数据,即使不知道网站是如何保护他们的数据或者存储位置。但是这样真的安全么?
位于加拿大安大略省PerspecSys公司的CEO兼CTO Terry Woloszyn:
当有人想要采用基于云计算的应用程序时,通常他们需要确保这几个因素:隐私性、存储位置和安全(PRS)。云安全方面主要分为两类:云计算供应商提供的数据安全保护以及云计算供应商防火墙与用户验证之前的数据安全。因此,在考虑什么是云计算问题之前,你需要建立一个分类。
Wikibon Project的合作伙伴兼主要研究负责人 Michael Versace:
有些人把云安全描绘得过于复杂。安全是基于风险的规则,用户首先需要理解云服务中存在的固有风险,然后部署最佳的企业化的/管理/业务流程和技术控制来管理风险,将风险控制到可接受的级别。
网络安全顾问George Moraetes:
云计算是一种业务概念,俗称为SaaS(软件即服务)、PaaS(平台即服务)和IaaS(基础设施即服务)。实际上,它是指将数据中心外包给第三方供应商(自诩其产品是最佳最安全的产品),问题在于,在云计算中将每个系统都认为是可靠的,而实际上没有百分之百安全的系统。
首先我们来分析下这个“云”,将它作为向企业提供计算服务的外包数据中心。如果提供的服务是指软件、平台或者基础设施,那么保护这些特殊的服务的安全性就应该与保护遵守行业最佳做法的非外包服务一样,但是实际情况是这样吗?企业真的能够控制外包出去的数据安全么?安全本身可以作为保护数据和交易而外包出去吗?企业能够向供应商解说清楚如何保护他们的数据么?当数据外包给第三方后,谁持有这些数据?数据存储在哪里?谁控制这些数据?这些都是涉及数据违规法律责任问题的。
其实云计算可能造成的安全损失要远远超过部署本地服务的成本,从法律角度来看,最好能够确保那些鼓吹能够运行其数据中心保护数据的外包第三方能够真正履行其承诺。
我认为云安全应该是这样:能够确保企业传统数据中心所部署的技术和操作在第三方供应商也有。而不属于云安全的包括合法性、最佳做法和行业标准,这些控制安全框架(已经成为热门问题)的问题,这些方面极具吸引力,因为成本问题。
KVH 公司的信息安全经理Venkatesh Ravindran :
众所周知,基础安全是以可用性、完整性和保密性为核心的,云安全必须解决这些基本的安全问题。换个角度看主要包括以下安全问题:
• 网络外围安全(由云计算安全供应商部署的外围安全)
• 网络通信安全(客户与云安全供应商之间的通信)
• 应用程序/平台安全(这是最具挑战的部分,因为大部分应用程序或者平台都具有多重性)
• 数据安全
• 法律法规与合规
Maricom系统公司的主要架构师/CSO Wing Ko:
我同意George Moraetes的观点,云计算只是数据中心外包。虽然不同模式(*aaS),使用方式以及供应商如何部署服务等,云安全都要比传统数据中心外包更复杂。
话虽如此,我也同意Mike Versace的说法,我们应该提供一些基本的办法来帮助大家的了解并提出一些问题,我一直以来使用的方法就是RAIN(如下),这是屡试不爽的规划和分析方法:
• (R)equirement要求:了解你的业务需求,从中归类出技术需求、非技术需求、管理要求和安全要求等。
• (A)nalysis分析:从你的业务要求出发,对你想要或者能够外包的任务或者服务进行分析,并且明确那些任务是由哪些人负责,以免增加后期工作难度。然后进行风险分析,特别是从云连接、多重性、本地数据隐私法规和业务连续性来考虑。
• (I)nterface界面:明确界定系统和用户界面。谁负责联系供应商或者如何向供应商咨询问题?使用哪些API或者网页?如何使用?返回的结果是怎样的?界面/接触点越多,数据泄漏发生的几率就越高
• e(N)sure确保:核查和确保服务是根据条款来执行的。测试供应商发送的结果以确保是以你期望的格式发送的,审计或者笔测服务,执行供应商运行的操作
云安全总结
云计算技术的广泛应用使得企业越来越依赖于云基础设施以及作为互联网服务而提供的虚拟资源,但是安全专家担心,很多企业在投入云计算之前都没有考虑风险问题。