当一个家庭买车的时候, 他们通常都不会从汽车商那里去买儿童座椅去保护家庭中最重要的成员。 Gartner的副总裁及安全分析师John Fescatore认为, 云安全也与之类似,用户不要指望云服务商提供的安全功能来保障公司的重要数字资产。
那些需要保护的信息, 如客户信息, 关键任务应用,企业级设备信息等都需要采用不同的安全控制措施来进行保护。 John Fescatore指出, 在企业进入云模式后, 云服务商提供的安全服务是可以信赖的, 但是对于重要商业信息以及法规要求保护的信息来说,这些安全措施常常是不够的。
安全问题目前仍然是企业迈向云服务是最大的担心。 不过John Fescatore认为有办法能够减少企业的担心。 其中之一就是为重要的云应用, 数据或者工作采用特别的安全保护。 比如信用卡行业的例子。 支付卡行业要求采用所有电子存储信用卡信息必须采用加密的形式。有些云服务商也在他们的云存储中加入了加密的功能。 不过, 企业还是可以购买很多第三方的加密, 防DDoS攻击以及访问控制的应用来专门对信用卡信息进行保护。而且很多这样的应用目前也都是以云的形式提供的。
目前市场上有很多云安全的产品, 提供着各种各样的功能。 John Fescatore提到了如Zscaler, Websense 或者Cisco的 ScanSafe等产品。 这些产品如同在用户和云之间的“网关”,监测进入云的数据,以保证不会有恶意数据或者代码入侵客户的系统。 如果云服务是用来托管网站, 也有很多网站保护的产品如:Imperva, CloudFlare甚至Akamai也提供一些类似的网站保护的服务。
不过总的来说, John Fescatore认为,云安全还应该从基本的开始。 绝大多数企业尝试云服务是从私有云开始的。 这也是实践云安全的一个好的起点。
在私有云中把应有的安全做好, 再逐步过渡到混合云和公共云是一个好的策略。对于保护虚拟环境免受外部攻击, 最重要的是要有相关的流程, 以及对系统, 控制的变化以及系统漏洞的了解。 这也包括对架构, 以及对账户, 域名以及虚拟设备的管理等等。
向私有云以外演进通常都会包括一些公共的云服务。 多数企业会把一些非关键任务的应用, 如测试,开发等放到公共云上。 不是所有的信息都需要最大限度的保护。 应该保护那些敏感信息而对非敏感信息可以采用一般性的安全措施。
John Fescatore认为, 云安全的重点应该在于保护的流程。 应该建立云安全的规则, 在云服务的实施过程中采纳并遵守这些规则。一些漏洞往往是由于规则的不统一或者安全控制没有执行到位造成的。 John Fescatore说“我们还没有看到针对真正对云基础设施或者虚拟层进行的攻击,今天很多黑客实际上是找那些容易下手的采用云服务的企业。“
好在企业还是有很多不同的云安全选择的。 对于一般性的安全要求, 很多云服务商, 不管是基础设施还是SaaS的, 本身就具备一定的安全功能, 如亚马逊的AWS就是遵循FISMA标准。 另一个云服务商FireHost遵循PCI标准。 John Fescatore的建议是, 企业寻找云服务商是,应该看它是否具有ISO27001, SOC2或者SOC3认证。 对于一般性安全需求以外的, 对敏感信息的保护, 市场上有很多第三方的产品或者服务可以选择。