RSA:雲安全問題依然困擾企業客戶

2013年的RSA資訊安全大會再一次談到了雲計算的安全問題。 在雲計算真正落地之前，其安全性必須首先獲得企業客戶的認可。 但在目前看來，這個障 礙並不容易掃除。 雲計算服務商和雲安全聯盟（Cloud Security Alliance——行業協會）盡了最大的努力卻收效甚微，雲安全問題依然讓IT主管們頭疼。 在本屆大會雲安全分會場，IT安全專家抱 怨雲計算服務商缺乏透明度，致使客戶面對雲服務時踟躕不前。 雲服務的不透明性主要體現在服務水準協定、管理功能以及安全責任這些領域。 出席者指出，當前雲 安全沒有權威認證，雲計算服務商又不允許企業客戶去實地考察接觸機器，IT主管不知從何處入手。 對於雲服務的不透明性，舉個具體的例 子，雲計算服務軟體漏洞對客戶不透明，這直接阻礙了客戶對漏洞相關運行風險的管理。 會上，Zynag公司前CSO Nils Pulhman提醒企業客戶：面對安全性漏洞，雲計算服務商們首先考慮的是降低對自己的影響，其次才會考慮客戶，所以客戶必須建立對雲計算服務的控制。 Nils Pulhman建議IT高管嚴格考察雲計算服務商。 「像員警一樣去調查，」他說。 「摸清服務商是否成熟。 」——根據他的經驗，尤其是初創公司，十有八九被盤問擊潰。 在透明度問題上，專家的意見是一致的。 vScaler雲計算業務副總裁Patrick Foxhoven補充說：「你必須對服務商提出透明度的要求，沒有足夠透明度，你不可能進行審計。 」但很多出席者指出，單憑一個企業客戶的力量，不足以挑戰強大的雲計算服務商一貫的不開放的安全性原則。 還有一位參會者提出了問題：如果想評估一個SaaS服務商，它運行在另一個PaaS服務商的平臺上，而且又是託管在第三個雲計算基礎設施服務商處——「這是否意味著需要評估三次？ 」Foxhover把這個問題擱置一邊，而是說起作為一個服務商，他收到過大量與安全相關的調查問卷，這些都來自潛在客戶，其中很多問題並不適用雲計算實現安全。 然後他回到剛才的問題，僅說到答案沒那麼簡單。 最後，在服務商的選擇上，他建議IT高管多與其他客戶交談，針對一個特定的服務商瞭解他們的經驗。 「這是我們今天所面臨的不幸的現實。 」Foxhoven總結說。