回顾即将过去的2013年,企业越来越多地开始使用云计算服务,但是云计算的安全问题仍然是企业部署这些服务的最大障碍。对于大多数行业而言,云服务已经成为企业基础设施的一部分,很多员工在没有经过IT部门批准就已经部署了云服务。例如云服务评估公司Skyhigh Networks增加了约500项云服务。
Skyhigh Networks首席执行官兼联合创始人Rajiv Gupta表示:“员工使用云服务几乎没有评估这些服务的风险。”出于这个原因,在2014年,安全要求将会成为企业的核心问题,近一半的IT经理都关心其云资源的安全性,而35%的人认为云安全要优于企业内部部署。其中一个原因是:很多云供应商未能解决其客户关心的问题。
安全服务供应商Sage Data Security公司总裁Charles Burckmyer称其客户经常通过他们评估第三方云服务的安全性。他表示,“客户需要建立一个结构化的方法来与云供应商合作,并要有一个程序来创建被允许的例外情况、分配风险和缓解这种风险,对于大多数客户而言,围绕云服务的安全性是非常重要的。”
通过与其云供应商进行沟通,企业客户可以创建一个安全的混合基础设施。下面是企业应该与云供应商讨论的五个问题:
1. 明确安全责任
云服务供应商继续将保护数据的责任放在客户身上,而很多客户认为云服务应该对数据承担责任。与前几年相比,在2013年,这种期望差距有所缩小,但根据Ponemon研究公司的调查显示,超过三分之一的客户仍然期望其软件即服务供应商保护应用程序和数据的安全。只有8%的企业通过其信息技术和安全团队来评估应用程序的安全性。
Sage Data Security的Burckmyer表示,虽然很多行业已经转移到云计算,但一些安全意识较强的行业和那些需要遵守法规的行业则止步不前,因为云供应商没有明确其风险。
他表示,“云供应商尽职调查、了解客户的责任以及了解你的供应商将如何支持你履行你的职责,都是非常必要的话题,从监管和安全的角度来看,转移到云计算的过程一直没有很明确,因为很多供应商做的还不够。”
2.构建能够提供有意义日志数据的系统
越来越多的企业想要收集关于其数据和应用程序在云中的安全信息。然而,很多云供应商没有提供详细的日志文件,或者不能完全分离一个客户与另一个客户的事件信息。
“我们需要制定默认的标准做法,即有一定量的日志信息可以主动提供给所有需要追踪的企业来进行各种分析,”云安全联盟首席执行官Jim Reavis表示,“日志文件一直是症结所在。”
对管理访问日志保持审计是非常重要的,但大多数小型云服务没有提供这种信息。
3. 加密应该更普遍
企业不仅要求云中终端到终端加密,而且越来越多地要求云供应商允许他们在将数据转移到云中前,在企业内部加密数据。
云服务管理公司Netskope首席执行官Sanjay Ber表示,云供应商不仅要与客户合作,而且要制定强大的加密解决方案,以让企业确保其数据的安全性,同时允许保留一些功能。
Beri说,“作为应用程序供应商,加密应该是他们可以比任何人都做得更好的事情,没有人比他们更了解应用程序,只要他们将密钥交给第三方管理,很多客户都会很高兴。”
4. 通知用户异常情况
如果攻击者获取了账户信息,加密将不足以保护客户的数据。出于这个原因,云供应商还必须部署良好的异常检测系统,并与客户共享这些系统的信息和审计记录。Gupta表示:“你需要所有这些不同的工具来确保云供应商满足客户的需求,这是一种分层的办法。”
5. 如何保护从第三方的访问
虽然云供应商受到其所在国家以及数字所在国家的监管,由美国国家安全局和其他国家情报局进行的大量数据收集工作让企业越来越多地开始询问云供应商,谁在请求数据、频率如何,以及供应商是否实现这些国家的请求等。
CSA的Reavis表示,“很显然,供应商需要让客户了解他们是如何管理和处理信息请求,供应商还没有开始看到,他们需要对政府的请求敬而远之。”
这种明确需要延伸到信息的所有权,云供应商需要强调其客户仍然对这些数据拥有所有权,并尽可能明确供应商对数据的使用权。