對雲安全的擔憂只是浮雲？

預計未來12個月中，將有越來越多的企業採用雲技術，其中涉及到的包括架構即服務(IaaS)，平臺即服務(PaaS)，軟體即服務(SaaS)以及私有雲。 然而，在雲計算安全性方面，大家頭上都懸著個問號。 雲計算那種將企業資料存放在企業防火牆外的資料中心，並通過互聯網進行訪問的概念，確實讓很多企業都覺得不靠譜。 雖然對於任何企業技術專案來說，安全性都是需要考慮的，但由於在雲技術中，資料的移動，存儲和訪問都與以往有所不同， 因此它的安全性問題就顯得比別的技術專案更重要了。 企業應該對雲計算安全性擔憂嗎?與傳統技術專案相比，雲計算確實引出了一系列新的安全問題，但是從專家角度看，雲計算實際上要比傳統技術專案更具安全性。 Ovum 首席分析師Graham Titterington認為，雲計算供應商對於資料安全的重視程度遠高於普通企業的內網安全管理人員。 Titterington 說：「大多數企業內部安全技術人員都無法像雲服務供應商那樣提供優質的安全服務，雲服務供應商不但具有專業的安全水準，而且具有一定的信譽，這在行業中非常重要。 因此一旦某個服務商出現了安全問題，那麼該服務商的業務將遭受毀滅性的打擊，尤其是目前這種大部分企業都在觀望的時期。 」他又補充說：「對於目前大約95%的企業來說，採用雲服務所實現的安全性要比他們自己在企業內部搞的安全系統更加可靠。 駭客們入侵企業內部伺服器的難度要遠低於入侵雲服務環境中的伺服器。 」Quocirca 公司經理 Bob Tarzey表示，在企業防火牆內部建立一個私有雲架構，並不會帶來什麼額外的安全隱患，而僅有的安全問題可能是關於虛擬機器的，但這方面的問題大部分早就已經得到解決了。 Tarzey同意 Titterington 的觀點，他也認為專業的雲服務提供者所實現的安全性要高於普通企業自己的安全系統，他說：「企業很容易忽略的一個問題就是，雲服務供應商所使用的架構是最先進的，位於高級的資料中心， 這遠比企業在自己的內部網路搭建的安全系統要安全的多，更能滿足企業對業務連續性的需求。 」Field Fisher Waterhouse 律師事務所的總經理 Eduardo Ustaran 同樣認為雲計算所涉及的資料安全問題不會比將企業IT服務外包出去所面臨的安全風險更大。 由於雲計算是將資料備份在不同的位置，因此會比傳統方式有更大的安全性。 Ustaran 表示，從客戶的角度看，這樣會感覺更容易失去對資料的控制，他說：「面對潛在客戶，雲服務供應商必須非常小心面對這一問題，讓客戶明白供應商所提供的安全性遠非他們之前所想像的那樣。 」雖然雲服務供應商能夠實現高等級的安全性，但是企業在向雲服務邁進之前，仍然需要注意一些問題，從而盡可能安全的實現雲計算。 資料的移動傳統的企業內部計算與雲計算的不同之處在于，後者需要通過互聯網將資料在雲供應商和客戶間進行傳送，而一些企業認為這個過程有可能出現安全隱患。 實際上，如今的網路技術已經能夠讓企業在互聯網上傳輸資料時確保資料安全，不被惡意份子監控和截獲了。 Ustaran 在回答silicon.com 記者採訪時表示：「如今的網路已經越來越安全了，與以往開放式的網路相比，現在通過網路傳送資料的安全性很高。 」Ovum公司的Titterington 補充說：「 SSL- 和 VPN-類型的技術可以很好的在公眾網路上進行資料安全傳輸。 」對資料進行加密，是資料在客戶和服務供應商之間傳遞時提升安全性的另一種方法。 這意味著資料無論是在企業內部還是在向雲服務環境移動過程中，或者存儲在雲服務環境，都是安全的。 雲架構的物理位置資料的物理移動和存儲也是有嚴格的法律要求的，因此在討論雲計算時，這一點不能忽略。 比如，在歐洲，個人資料只能被出口轉移到其它歐盟國家，比如簽署有安全港協定的美國。 如果雲服務供應商將企業的資料備份在兩台位於不同位置(一般不是在美國，或者在不同的國家)的伺服器上，企業可能就會擔心資料最終是否會丟失。 這種擔憂雖然不無道理，但是可以通過與服務供應商的談判得到解決。 Field Fisher Waterhouse 的Ustaran 表示：「不論資料存在世界哪個角落，只要具備良好的安全性，地理位置就不應該成為什麼問題。 」Titterington認為，企業應該確定他們的資料被保存在無安全港協定地區的可能性。 他說：「企業能否從供應商那裡得到所需的保證?供應商是否擁有類似的安全港協定，或者正在與那些地區簽署類似協定?」 一旦企業很高興的看到供應商能夠提供相應材料，他們就會很樂意的簽署相關的雲服務協定，因為他們知道自己的資料在遷移時能得到保證。 Titterington 認為，如果資料在傳輸和預存程序中都經過加密，那麼就不用擔心其存儲在協力廠商資料中心的安全性問題了。 如果除了企業自己，其它機構和個人都無法解讀資料內容，那麼資料移動也就沒有太多的安全性要求了。 運供應商知道企業擔憂資料存儲的地理位置問題，以及相應資料的安全新問題，因此在主要市場通過更多的開設雲資料中心的方式來解除企業顧慮。 確保存儲在雲環境的資訊安全一旦資料到達了雲平臺的存儲位置，就開始進行下一步資料安全措施了。 Titterington說：「一般來說，實際的傳輸階段是擔憂最少的階段，這時使用者所關注的是資料到達後會被如何存儲。 」Titterington 認為，對於雲技術來說，存取控制技術的運用是至關重要的，他說：「存取控制必須被重視。 雲服務的大門永遠是面向互聯網的，不論採用的是軟體即服務(SaaS)，平臺即服務(PaaS)還是架構即服務(IaaS)模式。 在開放環境和企業資料之間只有存取控制機制在起作用。 」Ovum 建議機構將存取控制集成進他們自己的雲服務中，這樣內部和外部的身份認證和登錄系統將同步進行，減小了出現安全風險的機會。 企業同樣需要確保他們能夠得到最新的資料訪問記錄。 這個策略意味著，一旦使用者離開辦公環境，他們的接入許可權馬上會被收回，這樣他們就不能從辦公地點以外的非授權系統訪問雲服務。 和資料傳輸過程一樣，資料存儲時同樣需要進行資料加密，以提高資訊的安全性。 Ovum的 Titterington 表示，有些加密技術允許企業將資料加密所使用的金鑰保留在雲環境中，這樣，只有具有完全控制許可權的人才能夠在虛擬機器中查看解密的資訊。 Titterington 說：「目前已經有針對雲環境的資料加密技術了，企業都應該考慮使用。 」企業所考慮的另一個有關雲環境下資料存儲的問題是，有可能與自己的資料存儲在相近空間，或者存儲在緊鄰的虛擬機器中的，就是競爭對手的資料。 而分析人士表示，資料混雜存儲甚至被錯誤的使用者訪問的情況基本不會發生。 Field Fisher Waterhouse的 Ustaran表示：「我還從沒見過那個服務提供者會將不同客戶的資料混雜在一起，並被錯誤的客戶訪問。 」Titterington 也補充說：「對於絕大多數機構來說，他們建立雲架構時使用的技術和架構就是用來防止出現資料交叉感染的。 」符合監管的雲在考慮採用雲服務時，企業首先要考慮的是自己的哪個業務流最適合採用雲服務，並牢記符合監管部門的規章制度，如Sarbanes-Oxley法案。 比如，財務資訊一般被看做不適用於雲計算，因為與其它方面的資訊來說，有太多的監管制度圍繞著財務資訊。 Titterington認為，雲服務供應商正好趁這個機會更詳細的介紹他們的安全方案，因為客戶提供的其它資訊並沒有那麼嚴格的監管要求。 他說：「對於那些需要非常詳細而嚴格審批報表的企業，供應商是很難拿出有關雲服務的正規的符合審查要求的文書的。 因此，作為雲服務供應商，你對於這類企業的吸引力是很有限的。 」Quocirca的 Longbottom 表示，企業都需要根據規章和監管要求對自己的資料進行分類。 資料的類型可以包括公開，商業，保密，以及機密。 之後就可以針對不同的資訊制定策略了，比如哪類資料可以分佈存放，是否可以被列印出來。 在雲計算方面，企業需要雲服務提供者能夠支援這種資料分類方式和對應的策略。 Longbottom 說：「由於不受網路，平臺或設備的限制，這種資料分類方法可以很好的適應雲計算環境。 」Field Fisher Waterhouse的 Ustaran 認為，雲服務供應商可以選擇將歐洲資料保護條例作為他們的服務標準提供給客戶，這樣客戶在與供應商洽談前就知道他們的資料將會符合監管要求。 他補充說，企業和供應商需要找到一個既能滿足資料安全和監管要求，又能實現足夠的靈活性的平衡點。 供應商將根據這個平衡點提供相應的服務。 Ustaran 表示：「合同應該注重現實，而不是設立過多的法律條款，這樣供應商將受到太多限制而無法為使用者提供所需的服務。 」從雲中取回資料企業面對雲計算時需要考慮的最後一方面內容是，如果以後決定更換雲服務供應商，那麼該如何從前一個供應商那裡把自己的資料取回來。 Quocirca的 Tarzey 認為，企業要考慮的關於雲計算的幾件大事之一，就是企業資料在未來的情況。 企業應該考慮他們如何將資料從雲架構中取回，並確保所有資料備份都從供應商的伺服器中刪除了。 Titterington 表示：「如果你不能簡單方便的將你的資料取回來，那麼你就算是跟這個服務商綁定在一起了，不論他怎麼樣你都離不開了。 這是任何企業都不願意見到的。 」因此企業在選擇雲服務供應商時一定要將這個問題提出來，他說：「提出所有恰當的問題，並將所有的服務承諾列在合同中。 」【編輯推薦】 Websense TRITON統一內容架構保護資料安全 銳捷網路新推面向雲計算的下一代防火牆 雲計算安全的五大顧慮 2011年雲安全五大趨勢解析 使用SSL可以輕鬆解決雲安全問題？ 【責任編輯：陳博文 TEL：（010）68476606】 原文：對雲安全的擔憂只是浮雲？ 返回網路安全首頁