Gartner：千萬別相信雲服務商能保護企業資料

有孩子的家庭在買新車的時候，是不可能從汽車廠商那裡購買安全兒童座椅的，因為這是一種專業設備，需要保護的是家庭中最敏感的資產。 Gartner副總裁兼安全分析師John Pescatore認為，雲安全也可以按照相同的邏輯去思考：使用者不應仰仗雲服務商的安全功能去保護他們至關重要的資料。

敏感資訊（客戶資料、要徑任務應用、生產級別資訊）需要特殊保護，很多場合下需要自己的安全控制來提供全面保護。 「當企業想要遷移到雲模式之時，有些事情你可以信賴雲供應商，但是對於關鍵業務資料和監管控制資訊來說，雲供應商所提供的基礎設施夠用的情況可謂少之又少。 」Pescatore在Gartner主機板的一次網路會議上如是說。

Pescatore指出，雖然安全依然是企業在部署雲戰略時的首要擔憂，但是已經有一些方法可以減輕這些擔憂。 他說，其中的一個關鍵就是必須要設計好安全條款，專門保護雲應用、資料或工作負載。 一個顯著的例子就是信用卡資訊。 支付卡行業（PCI）的認證要求任何客戶的信用卡資料必須以電子方式存儲，並且加密。 一些雲服務商會在其雲存儲產品中提供加密服務，但是客戶也可以購買協力廠商應用，專門針對自己的雲部署進行定制，以提供加密服務、DDoS防範，以及接入控制等。 其中不少服務都是以雲格式交付的。

市場上已經有了不少雲安全產品，功能也眾多。 如Zscaler、Websense或思科的ScanSafe等廠商的產品都是在使用者和雲服務商之間建立一道「門戶」，監控有哪些資料流程入了雲中，以便確保惡意資料或惡意應用不會滲透到使用者的系統中。 如果雲是被某個網站託管的，那麼也有一些網站保護服務，例如Imperva、CloudFlare，還有出自Akamai的服務等。

Pescatore認為，整體而言，雲安全尚處於初級階段。 很多大企業都是以私有雲或內部雲開始其雲征程的，這也是便於進行安全控制的一個好起點。 他的建議是，「首先要確保私有雲的安全，然後再擴展到混合雲和公有雲。 」由於保護虛擬化環境免受外部攻擊的流程十分重要，所以「需要系統具備可視性，變更控制和漏洞防護等功能」。 這包括保護架構編排的安全，預配置新的帳戶、功能變數名稱和虛擬機器。

向私有雲之外的遷移通常都會納入一些公有雲服務。 很多時候，企業會把一些非要徑任務應用向公有雲擴展，如測試、開發或擴充容量等。 所以，並非所有東西都需要獲得最高級別的安全。 「保護敏感性資料，只把不太敏感的資料放在本地雲中，」他將這一過程稱為資料分割。

Pescatore稱，對雲安全的關注應放在保護雲的流程上。 為雲安全創建政策，然後確保這些政策在整個雲部署期間被堅決執行和貫徹。 只要存在政策的不一致或者沒有強制執行安全控制，就會出現安全性漏洞。 「我們迄今為止尚未看到企圖危害雲基礎設施或虛擬化層的新型攻擊，」他說。 「當今的現實情況是，駭客們攻擊使用雲服務的企業是比較容易賺錢的。 」

好消息是客戶擁有大量的選擇。 對低級別的安全需求來說，雲服務商（無論是IaaS還是SaaS服務商）通常都有他們自己的安全功能。 亞馬遜Web服務是遵從FISMA的；另外一家雲服務商FireHost是遵從PCI的。 Pescatore說，使用者至少應該看看他們的雲服務商是否遵從ISO 27001、SOC 2或SOC 3認證。 除此之外，尤其對敏感資訊而言，還有很多協力廠商安全產品可供選擇。 （波波編譯）

(責任編輯：蒙遺善)