Vormetric副总裁C.J. Radford解释,2014年,越来越多的亚马逊网络服务(AWS)客户无法使用AWS/S3来确保其网络的安全性。2015年,这个趋势将愈演愈烈,更多的企业会使用云计算应用程序,目的是为了保护自身,远离日益猖獗的网络威胁。
Radford在接受TechRepublic通过电子邮件的采访中畅谈2015年云计算安全趋势时还预计,企业会“打开钱包”,保护软件即服务(SaaS)产品,更多的信息即服务(IaaS)提供商会提供加密和访问控制服务,以及托管型私有云的数量会超过内部私有云,成为首选环境。
Vormetric公司创办于2001年,为1400多个客户提供企业加密和密钥管理服务,这些客户包括《财富》25强名单上的17家知名企业。据Radford声称,目前,企业在数据安全方面面临的主要挑战是,“将数据迁移到云端,同时确保数据可靠、加密和安全,另外还要设法保留密钥所有权,面向基础设施、平台和软件服务组成的整个云计算架构。”
在这篇采访中,Radford还讨论了他对首席信息安全官们会给出怎样的建议,保护静态数据,Vormetric的数据安全解决方案以及合规领域的趋势。
TechRepublic:2015年马上就要到来,您认为数据安全领域的趋势主要有哪些?
C.J. Radford:我可以告诉你我们在云计算安全方面预计会看到的几个趋势。
2014年,我们看到AWS的客户表示他们无法使用亚马逊的AWS/S3服务来确保自己的网络安全。这个趋势在2015年将愈演愈烈;由于无力跟上安全攻击和威胁变化的速度,还有由此带来的法律和合规要求,中小公司/企业使用云计算应用程序的步伐会加快。
Vormetric副总裁C.J. Radford
由于2014年企业应用程序开支当中超过50%用于SaaS,又由于在云端使用和存储的信息中一大部分是敏感数据,企业势必会打开钱包,增加用于保护SaaS的开支。如果SaaS提供商提供明确的安全控制服务,在数据位置方面给出更多的细节,并许以书面的安全承诺,就会发现业务增长,而这方面滞后的竞争对手只会遭殃。
我还认为所有专业的IaaS和主机托管提供商会为客户提供企业和访问控制服务。由于服务标准越来越高以获得企业客户,IaaS和主机托管提供商将为企业客户提供一套基本的服务和一套高级的服务,以便客户保护自身环境里面的数据。
最后,托管型私有云将取代内部私有云,成为主导型的私有云环境。由于更多的云服务提供商广泛提供规模经济效益、服务级别承诺以及安全可视性和控制性,企业会日益青睐集两者之众长的托管型私有云环境。那样既能得到公有云提供的可扩展性,又能获得企业数据保护和操作所需要的更高安全性。
TechRepublic:您会为一家大中型企业力求提升数据安全能力的首席信息安全官会给出怎样的建议?
C.J. Radford:考虑大型中企业的安全状况时,我建议首席信息安全官们要着眼于需要保护的数据,并审查一下要在IT架构上下端部署什么样的安全解决方案,以便保护对企业来说最重要的数据。
首先,企业应该在整个IT架构上使用“同类中最佳“的安全解决方案。必需作出的一个调整是需要加强对数据保护的重视。这样做的原因是,强大的边界、网络和端点防御体系不再足以保护敏感数据。不管这些传统防御体系有多强大,它们很容易受到攻击者现有的一套攻击手法、挖掘技术和提取策略所带来的破坏。再加上云计算和移动计算让边界模糊起来,所以IT安全策略和实施很显然需要一种强大的数据保护要素。
其次,要确保贵企业的内部IT和安全策略及规程得到遵守,并不断加以测试,确保符合那些策略。
最后,要制定计划,防备安全事件发生,从而限制此类事件造成的负面影响,以免到时措手不及,因为这不是你会不会遇到安全事件的问题,而是安全事件何时发生、如何发生的问题。购置能事先检测威胁的工具,还要落实了威胁缓解计划,尽量减小损失。
TechRepublic:为什么保护静态数据对企业部署云服务而言至关重要?
C.J. Radford:保护静态数据对企业部署云服务而言绝对必不可少,那是由于知名机构的数据泄密事件层出不穷、国家隐私法规急剧增多,以及合规要求日益严格。在上述任何方面落后的企业有可能错失商机,或者面临更糟糕的后果。
充分利用云计算环境具有非常显著的商业和经济效益,但是如果企业没有落实适当的防范措施,那些效益也就无从谈起。要想一想数据泄密事件之后给企业声誉和收入造成的影响,或者违反数据储存地点(data residency)法律之后出现的棘手的法律难题。
TechRepublic:Vormetric数据安全解决方案的主要优点是什么?
C.J. Radford:Vormetric数据安全平台提供了一套全面的解决方案,适用于诸多数据库、平台(Linux、Windows和Unix)以及操作环境(数据中心、大数据和私有云/公有云/混合云)。
我们的解决方案让数据库里面的信息保护起来变得难度更小、成本更低。该平台让企业可以采用统一、可重复的方式迅速部署。企业可以采取一种一致、集中的方法,没必要使用大量单点产品。
同样,管理起来也简单而高效。Vormetric数据安全平台提供了一种简单直观、基于Web的界面、应用程序编程接口和命令行接口。由于可以在整个企业迅速一致地实施数据库安全性,IT资源能够得到更高效的使用。
当然,该平台提供了加密数据、控制访问以及创建细粒度的安全情报日志等方面的功能,从而帮助企业迅速满足安全和合规方面的要求。
TechRepublic:在数据安全市场,Vormetric的技术有何过人之处?
C.J. Radford:只有Vormetric为静态数据加密以及文件系统级和卷级的访问控制提供了单一的可扩展解决方案,易于保护任何文件、数据库或应用程序,无论它们驻留在何处。竞争对手的解决方案侧重于加密或者访问控制,对操作系统平台和云计算环境的支持很有限,密钥管理方面的选项也很有效。使用Vormetric的客户可获得以下好处:1)透明加密,2)细粒度的访问控制,3)安全情报,以及4)对云计算平台的广泛支持。
TechRepublic:在企业云计算领域,合规方面的趋势主要有哪些?
C.J. Radford:对数据中心建在与客户不在一个国家的云服务提供商(CSP)来说,数据主权常常是个全球性的大问题。企业不喜欢自己的数据离开本国的保护,这主要是由于严格的数据储存地点法律,或者担心谁拥有访问该数据的法律权利。最近,我们已看到亚马逊和VMware等CSP采取了这一步:在其他国家开设数据库中心,以满足该国客户的要求。我认为,我们进入新的一年后,会看到越来越多的CSP走这条路。
全球已颁布了成百上千部数据隐私法律,但我们的口号仍然一样:如果企业关注满足数据储存地点方面的要求,就应该对所有静态数据进行加密,只允许从数据起源的国家访问静态数据。
TechRepublic:Vormetric解决方案如何能够为客户满足合规要求?
C.J. Radford:我们服务于20个国家的1400多个客户,涉及一系列广泛的行业,包括医疗保健、零售、消费品、制造、银行、保险、政府和CSP等行业,所以可以说,我们对合规可谓了如指掌!简而言之,Vormetric数据安全平台提供了一套通用的、可扩展的实施基础设施,通过保护静态数据来支持合规制度。我们的客户必须遵守的一些最常见的合规法律包括:《健康保险可携性及责任性法案》(HIPAA)、《萨班斯-奥克斯利法案》,当然还有各州和国家的数据泄密及保护法律。
我们的客户最关注的是支付卡行业数据安全标准(PCI DSS)最近修订了内容。自2015年1月1日起,访问、存储或传输持卡人数据和个人身份信息的所有公司必须满足新的3.0标准。我们知道这对我们的客户来说有多重要,于是发行了一份白皮书,阐述新规则以及Vormetric透明加密解决方案(Vormetric Transparent Encryption)如何有助于实现PCI DSS加密。
另一个重要的监管法规是新的网络安全框架,即《联邦风险和授权管理方案》/美国国家标准与技术研究所(FedRAMP/NIST)。政府机构以及想与联邦政府打交道的CSP必须满足基本的安全标准。我们对于NIST采取的方法与PCI DSS相似,也出版了一份白皮书,表明了Vormetric的数据安全功能如何满足最新的NIST安全控制要求。