云安全問題你考慮了嗎？

由于在企業(yè)內(nèi)部維護硬件和軟件價格昂貴，于是將企業(yè)IT架構交給云計算也成了順理成章的事情。主要的優(yōu)勢包括：當IT架構作為互聯(lián)網(wǎng)服務提供給你時，你不再需要有專業(yè)知識或者對其進行控制，你只要把所有東西交給云計算就可以了，并且價格很實惠。但是，如同所有新技術一樣，太多人部署云計算方案，以至于還沒來得及考慮云安全問題。

福特汽車公司的安全顧問兼高級web設計架構師Matt Schneider

我對于云安全問題非常感興趣，目前我們正在開發(fā)一種web應用程序，用來向大眾提供安全的電子郵件、聊天、留言板和協(xié)作的平臺，同時我們網(wǎng)絡和數(shù)據(jù)庫服務器中的所有內(nèi)容都是用強大的加密功能和密鑰進行保護。

作為web開發(fā)人員，我很清楚開發(fā)人員會鼓吹自己已經(jīng)盡全力去保護用戶數(shù)據(jù)了，雖然只是將用戶數(shù)據(jù)以純文本形式存儲在共享網(wǎng)站。在大多數(shù)情況下，你的個人信息對于其他人以及你所訪問的網(wǎng)站而言都是沒有價值的，人們總是過于信任web應用程序，將自己的信息都暴露在上面。

大部分互聯(lián)網(wǎng)數(shù)據(jù)都是不重要的數(shù)據(jù)，這些數(shù)據(jù)也很少會被偷竊或破壞，但是也難免出現(xiàn)這樣的情況，我們在論壇或者聊天工具中談論機密信息，而碰巧被某些人截獲。到底普通用戶對于云計算有多關注呢?可能大部分人都沒有想過云計算，就像最近Facebook和Twitter發(fā)生的攻擊事故，如果用戶真的擔心信息安全問題，就應該停止使用這些平臺。

對于一個網(wǎng)站而言，尤其是那些用戶透露重要個人信息的網(wǎng)站，是否安全主要可以從以下幾個方面體現(xiàn)：

• SSL連接

• 信譽認證(如 Verisign和 GeoTrust認證等0)

• 多個信譽認證(Verisgn、McAffee和BBB等)

• 可信的公司名

• 廣泛宣傳

• 媒體推薦

• 大量用戶群體

我認為以上條件基本可以確定某個網(wǎng)站是否能夠保護客戶的重要信息。通常用戶會根據(jù)自己的判斷而信任某個網(wǎng)站能夠保護他們的數(shù)據(jù)，即使不知道網(wǎng)站是如何保護他們的數(shù)據(jù)或者存儲位置。但是這樣真的安全么?

位于加拿大安大略省PerspecSys公司的CEO兼CTO Terry Woloszyn：

當有人想要采用基于云計算的應用程序時，通常他們需要確保這幾個因素：隱私性、存儲位置和安全(PRS)。云安全方面主要分為兩類：云計算供應商提供的數(shù)據(jù)安全保護以及云計算供應商防火墻與用戶驗證之前的數(shù)據(jù)安全。因此，在考慮什么是云計算問題之前，你需要建立一個分類。

Wikibon Project的合作伙伴兼主要研究負責人 Michael Versace：

有些人把云安全描繪得過于復雜。安全是基于風險的規(guī)則，用戶首先需要理解云服務中存在的固有風險，然后部署最佳的企業(yè)化的/管理/業(yè)務流程和技術控制來管理風險，將風險控制到可接受的級別。

網(wǎng)絡安全顧問George Moraetes：

云計算是一種業(yè)務概念，俗稱為SaaS(軟件即服務)、PaaS(平臺即服務)和IaaS(基礎設施即服務)。實際上，它是指將數(shù)據(jù)中心外包給第三方供應商(自詡其產(chǎn)品是最佳最安全的產(chǎn)品)，問題在于，在云計算中將每個系統(tǒng)都認為是可靠的，而實際上沒有百分之百安全的系統(tǒng)。

首先我們來分析下這個“云”，將它作為向企業(yè)提供計算服務的外包數(shù)據(jù)中心。如果提供的服務是指軟件、平臺或者基礎設施，那么保護這些特殊的服務的安全性就應該與保護遵守行業(yè)最佳做法的非外包服務一樣，但是實際情況是這樣嗎?企業(yè)真的能夠控制外包出去的數(shù)據(jù)安全么?安全本身可以作為保護數(shù)據(jù)和交易而外包出去嗎?企業(yè)能夠向供應商解說清楚如何保護他們的數(shù)據(jù)么?當數(shù)據(jù)外包給第三方后，誰持有這些數(shù)據(jù)?數(shù)據(jù)存儲在哪里?誰控制這些數(shù)據(jù)?這些都是涉及數(shù)據(jù)違規(guī)法律責任問題的。

其實云計算可能造成的安全損失要遠遠超過部署本地服務的成本，從法律角度來看，最好能夠確保那些鼓吹能夠運行其數(shù)據(jù)中心保護數(shù)據(jù)的外包第三方能夠真正履行其承諾。

我認為云安全應該是這樣：能夠確保企業(yè)傳統(tǒng)數(shù)據(jù)中心所部署的技術和操作在第三方供應商也有。而不屬于云安全的包括合法性、最佳做法和行業(yè)標準，這些控制安全框架(已經(jīng)成為熱門問題)的問題，這些方面極具吸引力，因為成本問題。

KVH 公司的信息安全經(jīng)理Venkatesh Ravindran ：

眾所周知，基礎安全是以可用性、完整性和保密性為核心的，云安全必須解決這些基本的安全問題。換個角度看主要包括以下安全問題：

• 網(wǎng)絡外圍安全(由云計算安全供應商部署的外圍安全)

• 網(wǎng)絡通信安全(客戶與云安全供應商之間的通信)

• 應用程序/平臺安全(這是最具挑戰(zhàn)的部分，因為大部分應用程序或者平臺都具有多重性)

• 數(shù)據(jù)安全

• 法律法規(guī)與合規(guī)

Maricom系統(tǒng)公司的主要架構師/CSO Wing Ko：

我同意George Moraetes的觀點，云計算只是數(shù)據(jù)中心外包。雖然不同模式(*aaS)，使用方式以及供應商如何部署服務等，云安全都要比傳統(tǒng)數(shù)據(jù)中心外包更復雜。

話雖如此，我也同意Mike Versace的說法，我們應該提供一些基本的辦法來幫助大家的了解并提出一些問題，我一直以來使用的方法就是RAIN(如下)，這是屢試不爽的規(guī)劃和分析方法：

• (R)equirement要求：了解你的業(yè)務需求，從中歸類出技術需求、非技術需求、管理要求和安全要求等。

• (A)nalysis分析：從你的業(yè)務要求出發(fā)，對你想要或者能夠外包的任務或者服務進行分析，并且明確那些任務是由哪些人負責，以免增加后期工作難度。然后進行風險分析，特別是從云連接、多重性、本地數(shù)據(jù)隱私法規(guī)和業(yè)務連續(xù)性來考慮。

• (I)nterface界面：明確界定系統(tǒng)和用戶界面。誰負責聯(lián)系供應商或者如何向供應商咨詢問題?使用哪些API或者網(wǎng)頁?如何使用?返回的結果是怎樣的?界面/接觸點越多，數(shù)據(jù)泄漏發(fā)生的幾率就越高

• e(N)sure確保：核查和確保服務是根據(jù)條款來執(zhí)行的。測試供應商發(fā)送的結果以確保是以你期望的格式發(fā)送的，審計或者筆測服務，執(zhí)行供應商運行的操作

云安全總結

云計算技術的廣泛應用使得企業(yè)越來越依賴于云基礎設施以及作為互聯(lián)網(wǎng)服務而提供的虛擬資源，但是安全專家擔心，很多企業(yè)在投入云計算之前都沒有考慮風險問題。