雲供應商應該審查客戶資訊嗎?

當使用者與市場中挑選一家廠商簽約一項IaaS(基礎設施即服務)合約時，在將資料存儲到供應商的雲中之前，一般都需要提供使用者名和信用卡。 但是，公共雲供應商使用這些資訊要做什麼呢?

研究發現，安全仍然是使用者部署雲應用時擔心的主要問題。 各個供應商似乎都在宣傳保護雲中資料的安全功能。 不過，IBM將採取進一步的措施，不僅保護在雲中的資料，而且還會監管哪些使用者使用自己的雲服務。

微軟社區網站Redmond Channel Partner最近發表了一篇博客文章，報導了對一位IBM高管的採訪情況。 IBM全球技術服務部門負責雲業務的副總裁裡奇·萊奇納(Rich Lechner)稱：「單個人不能使用信用卡註冊使用IBM的服務。 IBM使用雲服務監視每一個使用者的身份，因此，IBM知道誰在大樓內。 」

IaaS供應商在允許使用者資料存儲在其雲中之前審核單個使用者的資料嗎?諮詢機構CISO Group的執行合夥人艾倫·施梅爾(Alan Shimel)稱，對於大多數IaaS供應商來說，希望渺茫。

施梅爾問道：「你真的認為他們會即時地逐個使用者地進行審查，審查你是誰和你向雲中放入什麼資料嗎?很可能不會這樣做。 雲的彈性的性質使這樣做是不可能的，或者至少成本是不允許的。 」施梅爾指出，他不熟悉每一個單個的雲供應商的安全政策。 每一個供應商的安全政策都是不同的。 但是，一些大型公共雲IaaS供應商不可能跟蹤它的所有使用者。

除了萊奇納在博客中發表的內容之外，IBM發言人不願意對該公司的政策發表評論。 但是，施梅爾稱，IBM要瞭解個人使用者身份的另一個潛在的理由是因為IBM的雲服務是面向企業使用者的。 IBM也許要定制一些服務來滿足使用者的需求。

其它IaaS供應商對於自己的戰略都含糊其辭。 Rackspace發言人在電子郵件中稱：「維護客戶的信任和客戶資料的安全是我們的首要任務。 」她沒有提供該公司識別使用者身份的細節，也沒有說在資料存儲到該公司管理的主機或者雲環境之前是否審查這些資料。

許多人認為亞馬遜Web服務(AWS)是IaaS的市場領先者。 AWS提供了一些額外的細節。 AWS發言人凱·肯頓(Kay Kinton) 稱：「我們不檢查使用者資料。 」她繼續說，我們要進行高級的審查以防止詐騙和濫用服務，然後才允許使用者使用我們的服務並且接著擴大使用規模。 AWS要求使用者在使用其服務之前提交一個電子郵件地址、電話號碼和信用卡資訊，然後向使用者發送一個PIN(個人識別碼)，批准訪問AWS服務。

但是，施梅爾稱，客戶不必要求他們的IaaS供應商確切地知道他們的全部使用者是誰。 他說，一旦資料存儲在供應商的雲中，更重要的安全擔心是保護這些資料。

施梅爾稱，如果有嚴格的安全措施，那麼，供應商就能夠保證即使不需要的資料放在雲中也不會讓它引起危害。 這樣的做的最佳方法是隔離使用者的資料。 這似乎是供應商更願意公開討論的事情。

例如，肯頓稱，AWS指出，每一個使用者實例都有自己的防火牆，能夠阻止在其雲中的其它實例的入侵。 AWS使用網路通訊的資料包級的隔離措施並且支援行業標準的加密。 對於格外擔心安全的使用者來說，AWS提供一個虛擬私有雲(VPC)，為使用者提供一個專用的IP位址，如果使用者希望擁有這種位址的話。 肯頓補充說，亞馬遜有ISO 27001、FISMA、SAS-70和PCI等證書。

雲和管理的服務提供者VirtuStream負責解決方案架構的高級副總裁肖恩·詹甯斯(Sean Jennings)同意這種說法：以為供應商會審核單個使用者的資料是不現實的。 他說：「我認為，他們在接受信用卡刷卡，一般不做審核。 」不過，這種情況會根據供應商的不同而有所變化。 例如，社區雲是針對健康醫療或者金融等具體垂直行業的，正在日益流行。 作為社區雲，供應商會與單個客戶更密切地合作以便熟悉什麼類型的資料將放在雲中，以便更好地優化讓垂直行業的客戶使用的產品。

Virtustream本身是一個公共雲供應商。 詹甯斯稱，隔離資料是他的公司和其它大多數雲供應商最擔心的問題。 在Virtustream，每一個客戶都有一個專用的通向資料中心的虛擬區域網路輸入。 在周圍有防火牆並且還有一個虛擬交換器層。 這些措施保正任何惡意軟體無論有什麼理由都不能進入資料中心，惡意軟體無法傳播。 Virtustream監視資料中心中的通訊並且標記可疑的行為。 不過，詹甯斯稱，即使在一個專用的私有雲環境，也許也會有一些核心的網路設備是多個資料中心和客戶共用的，如核心企業交換器和路由器等設備。

詹甯斯稱，總的來說，不要指望供應商審核使用者及其資料，使用者應該有義務在把資料放在雲中之前驗證其IaaS供應商的安全功能。 (編譯/胡楊)

(責任編輯：蒙遺善)