雲服務供應商安全性：提升雲計算透明度

對於希望利用雲計算服務的企業來說,其所面臨最緊迫的挑戰之一就是透明度問題。 他們應該如何評估雲計算HTTP://www.aliyun.com/zixun/aggregation/15552.html">服務供應商(csp)的安全性,以及他們應當如何確定某特定csp的信譽和可靠性?

于去年推出的雲計算安全聯盟的安全、信任以及保證註冊(star)是促使csp安全性和運營更為透明和開放的一次嘗試。 但是,也有該行業的其他集團正在努力以提升企業應當熟悉的雲計算透明度。 雖然他們所採用的方法不同,但其目標是一致的,即進一步推動csp安全性和運營的透明度和開放性。

雲計算透明度:開放資料中心聯盟

開放資料中心聯盟(odca)是一個獨立的it聯營企業,它向標準、使用模式以及其他與資料中心運營和雲計算相關的領域提供指導。 其模式是社區驅動,它向odca成員徵求意見建議以制定具體的使用模式,提供對資料中心挑戰和使用方式特別是關注雲計算基礎設施的詳細考慮。 odca關注的核心價值觀是增進雲計算使用者和供應商之間的交互和支援,其目標是創建納入使用模式關鍵因素的「工作域」。 這些措施包括安全(提供保障和安全合規性監控)、監管(監管框架和碳足跡)、管理、服務(服務目錄和計量單位)以及基礎設施(虛擬機器互通性和輸入/輸出(io)控制)。 該域中有眾多it企業最為關注的問題,其中涉及內部與外部雲計算環境的安全性和可用性,並定期發佈使用模式的更新。

雖然odca並沒有一個像star一樣的「自我報告」透明度機制,但是有幾個具體的使用模式可直接提升供應商的透明度。 首先是採用安全監控使用模式,該模式要求供應商為使用者提供一個基於網路的介面以檢測種類繁多安全控制的狀態,其中包括防病毒定義、入侵防禦系統(ips)事件和防火牆日誌。 當前的模式明確指出,正在進行的工作需要更緊密地配合csa雲計算控制矩陣和其他控制框架。 實現透明度的第二種模式是供應商保障模式,該模式要求雲計算供應商遵守由諸如nist、pci安全標準委員會以及iso等標準組織定義的法規和控制,以及在安全監控模式仲介紹的安全板。 csp可以達到四個級別的保障:

銅級:基本的安全性,如防病毒、防火牆、漏洞管理、安全事件監控和物理安全訪問限制。

銀級:相當於一般企業的安全性,其中包括防止網路入侵、事件日誌記錄、連續性規劃以及更為強大的安全性文檔。

黃金級:相當於金融組織的安全性,其中包括滲透測試功能、多因素身份驗證、存儲加密和物理伺服器隔離。

白金級:相當於軍事組織的安全性,具有更為強大的加密措施和取消雲計算供應商管理員的訪問。

同樣,每個保障級別都有相應具體而明確的要求。 例如,「網路與防火牆管理」描述了每個等級的控制和流程,具體如下:

銅級:csp管理所有的防火牆規則,且無需消費者的介入。

銀級:csp管理防火牆規則,並接受消費者的一些意見和建議。 csp還提供了邏輯實體層之間的網路分隔。

黃金級:由消費者管理防火牆規則,而由csp提供防火牆的管理維護。 提供邏輯層之間的網路分隔和應用程式層保護。

白金級:csp完全無法訪問防火牆,而由消費者管理一切。 提供邏輯層之間的網路分隔和應用程式層保護。

雲計算標準客戶委員會

雖然並不像star以及odca一樣直接為雲計算透明度做出貢獻,雲計算標準客戶委員會(cscc)一直主要以使用用例和一般性指導的形式致力於為雲計算專案實施者提供戰術和戰略的變革和建議。 其目前的使用用例文檔包括對特定控制區域(如資產管理、密碼與金鑰管理、以及網路安全性)的高層次安全指導。 另外,還涉及一些簡單的用例。 目前,cscc似乎沒有提供以保障或透明度為目的的註冊,但確實還有一個包括供應商和大型消費者在內的重要成員名單。

cscc也緊密跟隨開放雲計算宣言,這是一個有超過400名支援者的運動,其目的在於促進雲計算控制和配置標準溝通的更開放標準、對話和一致透明度。 隨著時間的推移,cscc將有可能成為雲計算透明度的一個重要貢獻者,並可能導致如star計畫的改進參與。

隨著越來越多的企業尋求過渡到混合雲計算和公共雲計算模式,對於雲計算供應商透明度的需求只會變得更加緊迫。 如何努力以獲得雲計算透明度的成功還有待于我們拭目以待。 到今天為止,只有三家企業已提交了csa的star資訊:microsoft office 365、mimecast 以及 solutionary。 這一點表明,眾多雲計算供應商可能還沒有做好提交該級別詳細資訊的準備,或者可能還沒有很多社區支援或star的知識。 儘管如此,雲計算使用者可以期待諸如csa、odca以及cscc這樣的組織可以提供供應商控制狀態的監控與報告的有益指導。

(責任編輯：蒙遺善)