IT專家關於雲安全定義的六種見解

雲安全問題你考慮了嗎？ 由於在企業內部維護硬體和軟體價格昂貴，於是將企業IT架構交給雲計算也成了順理成章的事情。 主要的優勢包括：當IT架構作為互聯網服務提供給你時，你不再需要有專業知識或者對其進行控制，你只要把所有東西交給雲計算就可以了，並且價格很實惠。 但是，如同所有新技術一樣，太多人部署雲計算方案，以至於還沒來得及考慮雲安全問題。 福特汽車公司的安全顧問兼高級web設計架構師Matt Schneider我對於雲安全問題非常感興趣，目前我們正在開發一種web應用程式，用來向大眾提供安全的電子郵件、聊天、留言板和協作的平臺， 同時我們網路和資料庫伺服器中的所有內容都是用強大的加密功能和金鑰進行保護。 作為web開發人員，我很清楚開發人員會鼓吹自己已經盡全力去保護使用者資料了，雖然只是將使用者資料以純文字形式存儲在共用網站。 在大多數情況下，你的個人資訊對於其他人以及你所訪問的網站而言都是沒有價值的，人們總是過於信任web應用程式，將自己的資訊都暴露在上面。 大部分互聯網資料都是不重要的資料，這些資料也很少會被偷竊或破壞，但是也難免出現這樣的情況，我們在論壇或者聊天工具中談論機密資訊，而碰巧被某些人截獲。 到底普通使用者對於雲計算有多關注呢?可能大部分人都沒有想過雲計算，就像最近Facebook和Twitter發生的攻擊事故，如果使用者真的擔心資訊安全問題，就應該停止使用這些平臺。 對於一個網站而言，尤其是那些使用者透露重要個人資訊的網站，是否安全主要可以從以下幾個方面體現：• SSL連接• 信譽認證(如 Verisign和 GeoTrust認證等0)• 多個信譽認證(Verisgn、McAffee和BBB等) • 可信的公司名• 廣泛宣傳• 媒體推薦• 大量使用者群體我認為以上條件基本可以確定某個網站是否能夠保護客戶的重要資訊。 通常使用者會根據自己的判斷而信任某個網站能夠保護他們的資料，即使不知道網站是如何保護他們的資料或者存儲位置。 但是這樣真的安全麼?位於加拿大安大略省PerspecSys公司的CEO兼CTO Terry Woloszyn：當有人想要採用基於雲計算的應用程式時，通常他們需要確保這幾個因素：隱私性、存儲位置和安全(PRS)。 雲安全方面主要分為兩類：雲計算供應商提供的資料安全保護以及雲計算供應商防火牆與使用者驗證之前的資料安全。 因此，在考慮什麼是雲計算問題之前，你需要建立一個分類。 Wikibon Project的合作夥伴兼主要研究負責人 Michael Versace：有些人把雲安全描繪得過於複雜。 安全是基於風險的規則，使用者首先需要理解雲服務中存在的固有風險，然後部署最佳的企業化的/管理/業務流程和技術控制來管理風險，將風險控制到可接受的級別。 網路安全顧問George Moraetes：雲計算是一種業務概念，俗稱為SaaS(軟體即服務)、PaaS(平臺即服務)和IaaS(基礎設施即服務)。 實際上，它是指將資料中心外包給協力廠商供應商(自詡其產品是最佳最安全的產品)，問題在於，在雲計算中將每個系統都認為是可靠的，而實際上沒有百分之百安全的系統。 首先我們來分析下這個「雲」，將它作為向企業提供計算服務的外包資料中心。 如果提供的服務是指軟體、平臺或者基礎設施，那麼保護這些特殊的服務的安全性就應該與保護遵守行業最佳做法的非外包服務一樣，但是實際情況是這樣嗎?企業真的能夠控制外包出去的資料安全麼?安全本身可以作為保護資料和交易而外包出去嗎 ?企業能夠向供應商解說清楚如何保護他們的資料麼?當資料外包給協力廠商後，誰持有這些資料?資料存儲在哪裡?誰控制這些資料?這些都是涉及資料違規法律責任問題的。 其實雲計算可能造成的安全損失要遠遠超過部署本機服務的成本，從法律角度來看，最好能夠確保那些鼓吹能夠運行其資料中心保護資料的外包協力廠商能夠真正履行其承諾。 我認為雲安全應該是這樣：能夠確保企業傳統資料中心所部署的技術和操作在協力廠商供應商也有。 而不屬於雲安全的包括合法性、最佳做法和行業標準，這些控制安全框架(已經成為熱門問題)的問題，這些方面極具吸引力，因為成本問題。 KVH 公司的資訊安全經理Venkatesh Ravindran ：眾所周知，基礎安全是以可用性、完整性和保密性為核心的，雲安全必須解決這些基本的安全問題。 換個角度看主要包括以下安全問題：• 網路週邊安全(由雲計算安全供應商部署的週邊安全)• 網路通信安全(客戶與雲安全供應商之間的通信)• 應用程式/平臺安全(這是最具挑戰的部分，因為大部分應用程式或者平臺都具有多重性)• 資料安全 • 法律法規與合規Maricom系統公司的主要架構師/CSO Wing Ko：我同意George Moraetes的觀點，雲計算只是資料中心外包。 雖然不同模式(*aaS)，使用方式以及供應商如何部署服務等，雲安全都要比傳統資料中心外包更複雜。話雖如此，我也同意Mike Versace的說法，我們應該提供一些基本的辦法來説明大家的瞭解並提出一些問題，我一直以來使用的方法就是RAIN(如下)，這是屢試不爽的規劃和分析方法：• (R) equirement要求：瞭解你的業務需求，從中歸類出技術需求、非技術需求、管理要求和安全要求等。 • (A)nalysis分析：從你的業務要求出發，對你想要或者能夠外包的任務或者服務進行分析，並且明確那些任務是由哪些人負責，以免增加後期工作難度。 然後進行風險分析，特別是從雲連接、多重性、本地資料隱私法規和業務連續性來考慮。 • (I)nterface介面：明確界定系統和使用者介面。 誰負責聯繫供應商或者如何向供應商諮詢問題?使用哪些API或者網頁?如何使用?返回的結果是怎樣的?介面/接觸點越多，資料洩漏發生的幾率就越高• e(N)sure確保：核查和確保服務是根據條款來執行的。 測試供應商發送的結果以確保是以你期望的格式發送的，審計或者筆測服務，執行供應商運行的操作雲安全總結雲計算技術的廣泛應用使得企業越來越依賴于雲基礎設施以及作為互聯網服務而提供的虛擬資源，但是安全專家擔心， 很多企業在投入雲計算之前都沒有考慮風險問題。 【編輯推薦】雲安全是雲計算大規模應用的前提雲計算時代下的行動裝置安全初探雲計算：標準尚未統一 盲目建設遍地開花雲計算受「熱捧」 中小企業表現「冷靜」 基於雲計算的資料保護戰略是大勢所趨雲安全ABC：雲中的商業資料是否安全雲計算：治理和安全【責任編輯：liyan TEL：（010）68476606】 原文：IT專家關於雲安全定義的六種見解 返回網路安全首頁