6種常見雲安全誤區

在這種經濟蕭條的大背景下，IT部門都面臨著IT安全預算緊缺以及不斷增強的合規要求等問題，企業們都在考慮是否應當將某些IT運營交給雲服務供應商處理。 事實上，每個人都深感壓力，預算不夠的情況下還要盡力保護資料的安全，特別是中小型企業，這也就意味著企業需要將部分IT運行外包給協力廠商以減少資金和人力方面的投資。 急切地投身到雲計算中從安全形度考慮是很危險的，但是如果你認為你能夠比服務供應商更好的保護你的基礎設施，而完全不考慮雲計算也是不明智的舉措。 其他錯誤想法還包括：認為將資料交給雲服務供應商後就不再需要為數據安全保障負責人;認為是由你來決定企業是否以及如何使用軟體即服務(SaaS)：可能你會發現你是最後一個知道企業已經部署SaaS的人。 當企業在考慮或者決定將企業的系統、應用程式以及資料轉移到基於服務的模式(即雲計算)時，還會犯很多其他錯誤，這些錯誤包括：沒有對雲服務供應商的安全性進行驗證和測試，不對供應商的可靠性進行核實， 不做任何修改就將企業不安全的應用程式交給供應商，希望應用程式自動會變得更加安全。 讓我們來仔細分析這六種常見安全雲計算錯誤，以及如何避免發生這些錯誤。 錯誤1：認為雲安全比不上資料中心作為保護公司資料和智慧財產權的主要負責人，安全專家們基本上都有很強的控制欲望，這也讓安全專家們產生這樣的誤會，「最常見的錯誤就是，只要我們談論雲計算， 企業們就會認為雲計算的安全性比不上企業自己的IT安全運營，」Forrester研究機構的主要分析師Chenxi Wang表示，「企業普遍認為，控制力度越強就越安全。 」事實上，對於像Google的SaaS這樣的雲服務，資料丟失發生的可能性不大，因為這些資料是可以隨時隨地被訪問的，而不會被保存到容易丟失或者偷竊的USB存放裝置或者CD，根據Google應用程式安全主管Eran Feigenbaum表示，Google的安全性漏洞修復計畫比一般企業的安全更新要更加有條理，因為Google的伺服器結構很均勻。 「很多攻擊的發生都是因為企業缺乏安全性漏洞管理和伺服器的錯誤配置，對於我們而言，當新的安全補丁發佈時，我們可以迅速對整個平臺進行統一修復。 」SaaS和其他雲供應商則具有更加整體的觀點，Feigenbaum在4月份的RSA會議的雲安全會議小組中表示，「對於企業而言，只能看到對企業造成威脅的一小方面。 雲供應商可以從更全面的角度來看待整體經濟規模，雲可以改變安全域勢，也有能力提供更好的安全。 」但是這並不意味著企業可以盲目地相信雲服務供應商，雖然較大型供應商可能能夠提供更好的服務，Forrester研究機構的Wang表示，「雲服務供應商是從更加複雜的水準來處理安全問題的，而不像企業IT團隊一樣， 只關注每天的需求。 盲目的認為雲安全提供的安全性不高或者存在更多問題都是不正確的。 」到目前為止，安全問題是雲服務廣泛部署的主要障礙，Sun公司的雲計算首席管理官Michelle Denndy表示，「對雲服務缺乏信任一直是阻止雲服務廣泛應用的因素，而不是雲服務的技術能力，但是很多情況下， 雲服務比企業環境都更加安全。 錯誤2：沒有對雲服務供應商的安全性進行核實、測試或者審計當你在選擇服務供應商的時候，不要輕易就對供應商的安全性下結論，要對供應商如何保護你的資料以及供應商基礎設施的安全性進行核實。 「輕易相信供應商是不行的，你必須對雲服務供應商的安全性進行核實、測試或者雇傭協力廠商對其進行審計，」惠普軟體和解決方案安全工程師Dennis Hurst表示。 但是測試供應商的安全性也不是那麼簡單。 並不是所有雲服務公司對於自己的安全性原則和規定都能夠講清楚，通常不能進行很好的溝通。 「還有些不清楚資料中心雲是如何被保護的，」VMWare公司的雲解決方案主管Jian Zhen在最近的RSA會議上表示，「雲服務供應商需要更好的解釋雲計算，讓使用者感覺舒服，並不是因為雲服務供應商沒有更好的安全性， 而是因為不是那麼透明。 」惠普公司的Hurst表示，要確保你的雲服務供應商是以安全的方式隔離各個系統的，「企業並沒有核查他們的系統和資料是否被分隔開來，他們只是確認虛擬機器被分隔了，但是他們的應用程式可能在同時運行100個其他虛擬機器的伺服器上運行 ，並且供應商可能不會進行適當的隔離，或者IP位址不會被防火牆阻止。 」雇傭可信任的協力廠商驗證雲供應商的安全性，或者與供應商商量讓你對其進行線上測試和驗證，他表示，「供應商應該將他們如何分隔客戶們的系統付諸文檔形式，這樣就比較容易讓使用者驗證。 」要確認虛擬機器是否受到保護，你可以在環境外運行埠掃描來確認你不能進入其他客戶的機器。 雲服務供應商對於其安全和隱私的明確度可以判斷供應商的安全性，「如果他們對於他們的安全能力很自信的話，那麼相對來說，是比較安全的，」Forrester的Wang表示，「反之，如果供應商不太願意談論安全問題，那就要考慮別家供應商了。 」在過去幾年，Google就已經開始提供關於SaaS安全性的詳細資訊，包括白皮書等，Feigenbaum表示，「也許不是在我們網站的首頁，可能使用者需要簽署NDA或者其他要求，這樣也是為了保持安全性與可見度之間的平衡。 」與此同時，雲計算也提供了一種從資料方到雲服務外建立安全的機會，Sun公司的Dennedy指出，「這應該是互聯網所需要做的，」她表示，「現在我們需要選擇最好的安全技術，並將這些技術部署到安全的雲服務產品中。 」錯誤3：沒有對雲服務供應商的業務可靠性進行審查第三個誤區就是，在確認雲服務供應商的業務可靠性前就完全信任供應商，「如果你的供應商明天突然消失的話，你能夠做什麼?」 Hurst表示，曾經就發生過這樣的案例，位於美國德克薩斯州的某家供應商就因為涉嫌非法活動，FBI突然查抄了這家公司並且沒收了資料中心和電腦。 「只有一台電腦用於非法目的，結果其他電腦也被沒收了，」讓客戶蒙受了很大的損失。 因此，使用者們應該做好這方面的打算，最好將所有能夠確保業務正常運行的內容拷貝一份，以防雲服務供應商突然停止提供服務。 另外，你還需要確定雲服務供應商是否有災難備份計畫，這對於較小型雲服務供應商來說是挑戰。 慶倖的是：我們很少聽說雲服務供應商突然停止提供服務的消息，而更可能出現的問題是與安全做法相關的問題。 而且到目前為止，企業們還只是將一些不是很關鍵的應用程式(如電子郵件程式)交給雲服務供應商，這樣雲服務對其他企業應用程式可能帶來的風險比較小。 錯誤4：認為資料交給雲服務供應商後就高枕無憂了不要認為將應用程式或者系統外包出去就意味著你完全不用對資料洩漏負責了，這也是很多中小企業持有的錯誤觀點。 將對資料的保護交付給雲服務供應商並不意味著，當發生資料洩漏的時候，你就完全沒有責任。 「最終，企業需要對資料洩漏負責，企業首席執行官可能受到裁決，而不是雲服務供應商，」VMWare的Zhen在RSA會議上指出。 高度管制的企業通常能夠很快意識到這一點，Forrester的Wang表示：「作為資料的擁有者總是要對客戶的資料負責任的。 」惠普公司的Hurst就表示他曾遇到過這樣的事情，讓雲服務供應商受到攻擊時，企業仍然需要負部分責任。 他的前雇主將企業的醫療保險資訊外包給了一家海外供應商，「當雲服務供應商受到攻擊時，公司仍然不得不承認他們丟失了資料，而且需要支付欺詐檢測服務的費用。 」也就是說，當你將某個業務功能託付給協力廠商處理時，你並沒有擺脫你的責任。 錯誤5：將不安全的應用程式放入雲中希望以此能讓不安全程式變安全The key is properly preparing your applications and data for the transition, she says. 將有缺陷的舊IT系統和充滿漏洞的應用程式交付給雲服務供應商處理並不能自動讓這些系統變得安全，「沒有供應商會為你修復系統或程式的，」Sun公司的Dennedy表示，「不要幻想你扔給別人的垃圾會自動變成好東西。 」只有選擇正確的供應商、外包合適的應用程式以及部署正確的規劃，雲計算才能夠為企業提供更好的安全性和管理，但是對於那些沒有適當控制的企業，這將是個很大的挑戰。 「安全企業通常對於他們的架構都沒有進行控制，」Zscaler的安全研究副總裁Michael Sutton，他還指出Gartner研究結果表明，60%的企業仍然在使用漏洞百出的IE6瀏覽器，這個結果太讓人大跌眼鏡了。 雖然說，不安全的應用程式在雲服務供應商那裡可以獲得更好的保護，因為較少訪問企業資料中心，但是說到底，不安全的漏洞應用程式仍然是一個隱患，「畢竟是不安全的應用程式，任何它訪問過的資料都可能被盜竊，」他表示，「 如果攻擊者攻擊了這個應用程式並且用它來發動僵屍網路，而又無法控制該程式，這樣是很危險的。 」錯誤6：不知道企業營業單位已經開始使用某些雲服務了大家都知道IT安全通常都被認為是技術和業務運營的障礙物，而不是推動器。 這種觀念有時候會導致營業單位完全與安全脫節，你會突然發現，某一天營業單位與雲供應商洽談的業務，而完全沒有考慮安全問題。 關鍵在於要防止企業內部在完全不考慮安全問題的前提下，與雲服務供應商簽署合同。 企業可能制訂了安全政策來定義雲計算，以及圍繞雲計算的安全指導，但是如果這些安全措施不是嚴格強制執行的話，對除安全部門以外的部門將其不到任何作用。 Forrester'研究機構的Wang表示，IT部門很多時候都不知道企業內部其實已經在使用雲計算服務。 應該儘早的讓安全部門參與進來，如果安全團隊能夠在評估和審核過程就參與進來，就能夠確定企業的雲服務安全需求， 這樣企業就能夠放心將系統程式交給雲服務，專心進行業務。 當然，這也需要對業務方面的更多瞭解，而不只是技術方面。 【編輯推薦】Web雲安全技術應用篇雲安全雲計算迷團大揭幕【責任編輯：陳運哲 TEL：（010）68476606】 原文：6種常見雲安全誤區 返回網路安全首頁