早在2011年我在舊金山舉行的年度信息安全大會RSA Conference上做新聞報道時����,問過與會人士:“安全領(lǐng)域炒得最火的話題是什么?”
應(yīng)的IT操作人員沒有定期監(jiān)控政策�����、流程和工具���,安全漏洞就會出現(xiàn)����。”
451研究公司的企業(yè)安全業(yè)務(wù)高級分析師Adrian Sanabria說:“要明白界線在哪里�����。誰對什么負(fù)責(zé)。通常而言����,云服務(wù)提供商基本上要負(fù)責(zé)其網(wǎng)絡(luò)上及其數(shù)據(jù)中心中的一切�。然而,硬件層和低級網(wǎng)絡(luò)層上面的一切則是客戶需要負(fù)責(zé)的�����。”
11. 你可以忽視BYOD�,因而來得更安全。
Acronis公司的云和托管服務(wù)銷售高級副總裁John Zanni特別指出:“不支持�、不實施BYOD(自帶設(shè)備)政策并不意味著,企業(yè)不太可能遭到數(shù)據(jù)泄密事件��。BYOD潮流已蔚然成風(fēng)�����。”
Zanni建議部署移動內(nèi)容管理(MCM)解決方案��,因為保護(hù)數(shù)據(jù)將最終決定貴企業(yè)的安全和合規(guī)需求��。
12. 云數(shù)據(jù)并不保存在移動設(shè)備上
Nubo公司的首席執(zhí)行官Israel Lifshitz說:“我仍然聽到有人在談?wù)撛撇渴穑孟袷褂眠@種服務(wù)意味著你并不將任何企業(yè)數(shù)據(jù)保存在移動設(shè)備上�,因而可能讓設(shè)備數(shù)據(jù)保護(hù)顯得毫無實際意義。連接到設(shè)備的應(yīng)用程序總是要緩存數(shù)據(jù)��,而這些緩存數(shù)據(jù)存儲在你員工的移動設(shè)備上�����。這些數(shù)據(jù)有可能泄漏�����,因而必須加以保護(hù)�����。”
13. 單租戶系統(tǒng)比多租戶系統(tǒng)來得安全�。
Panopto公司的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Eric Burns說:“相比單租戶系統(tǒng),多租戶系統(tǒng)具有兩個安全方面的好處�����。它們?yōu)閮?nèi)容提供了額外一層保護(hù)��,另外確保安全補(bǔ)丁總是最新的。”
Burns特別指出����,雖然云托管系統(tǒng)提供了基于硬件的邊界安全,但是選擇多租戶解決方案的那些用戶獲得了第三層保護(hù):邏輯內(nèi)容隔離��,這層保護(hù)旨在有助于預(yù)防邊界內(nèi)部攻擊��。
Burns解釋:“就好比公寓大樓里面的租戶使用一把鑰匙進(jìn)入大樓��,使用另一把鑰匙進(jìn)入自己所在的公寓����,多租戶系統(tǒng)既需要邊界安全�,又需要‘公寓級’安全,這點很獨特���。”
這對多租戶系統(tǒng)來說是一層必不可少的保護(hù)���。
弗雷斯特研究公司的副總裁兼首席分析師John Rymer說:“多租戶服務(wù)始終確保所有資產(chǎn)的安全,因為主邊界里面的那些用戶都是不同的客戶�����。”
此外,Burns說:“多租戶系統(tǒng)確保同時為所有客戶發(fā)布了軟件更新版(包括安全補(bǔ)丁)�����。換成單租戶系統(tǒng)��,就需要軟件開發(fā)商逐一更新每個客戶的虛擬機(jī)�。”
14. 多租戶系統(tǒng)比單租戶系統(tǒng)來得安全。
云安全領(lǐng)域沒有絕對的東西��。以為多租戶系統(tǒng)比單租戶系統(tǒng)來得安全也是個誤區(qū)����。
對一些企業(yè)組織來說,多租戶環(huán)境下出現(xiàn)的強(qiáng)行升級和維護(hù)窗口可能是不利因素����。
Bomgar公司的解決方案技術(shù)高級主管Boatner Blankenstein說:“確保你的變更管理需求能得到滿足,確保你有時間來規(guī)劃升級��,這對多租戶系統(tǒng)而言常常是個問題�����。單租戶為計劃停機(jī)維護(hù)增添了靈活性�,而不影響其他用戶。”
15. 你放在云端的數(shù)據(jù)歸你掌控。
Legal Workspace公司的首席執(zhí)行官Joe Kelly提醒道:“你上傳了數(shù)據(jù)后���,你的數(shù)據(jù)并不總是你的���。如果數(shù)據(jù)存放在另一個國家,你可能還要考慮棘手的跨境管轄問題�。許多網(wǎng)站保留了確定數(shù)據(jù)是否違規(guī)或者是否侵犯版權(quán)或知識產(chǎn)權(quán)法的權(quán)利。另一些網(wǎng)站兜售基于你內(nèi)容的廣告――這意味著你的信息可能不如想象的來得那么私密���。”
16. 云服務(wù)提供商會不斷管理認(rèn)證和合規(guī)�。
Virtustream公司的聯(lián)合創(chuàng)始人兼解決方案架構(gòu)高級副總裁Sean Jennings解釋:“許多云服務(wù)商將平臺的安全狀況過于簡單化了����,把談話的主題轉(zhuǎn)向合規(guī)和第三方授予的認(rèn)證上。安全認(rèn)證只是體現(xiàn)了當(dāng)下的云平臺及支撐性流程……剛獲得認(rèn)證�,結(jié)果就過時了���,這完全有可能��。”
Silicon Mechanics公司的首席運(yùn)營官Dan Chow說:“注意力未必要放在實施合規(guī)政策上����,而是應(yīng)該放在滿足合規(guī)的審計和報告上。如果監(jiān)管標(biāo)準(zhǔn)發(fā)生變化�,知道哪里存在不足,這對于滿足最新要求�,并確保公司合規(guī)、遵守最新標(biāo)準(zhǔn)來說很重要�。”
17. 云安全是一種產(chǎn)品或服務(wù)。
Galeas Consulting公司的Scap說:“安全不是一種產(chǎn)品或服務(wù)����,而是一個過程。根據(jù)某一個應(yīng)用程序或服務(wù)的用途對你的網(wǎng)絡(luò)進(jìn)行分段�,部署防火墻,監(jiān)控日志����、系統(tǒng)和網(wǎng)絡(luò)活動,制定并遵守安全程序和政策�,確定誰可以訪問數(shù)據(jù),還要有萬一出現(xiàn)安全泄密事件���,可以遵循的方案���。”
18. 云服務(wù)器有無窮無盡的資源。
你的云服務(wù)器似乎有無窮無盡的內(nèi)存和處理能力�,但是消耗不必要的過多資源可能會導(dǎo)致性能問題���、費(fèi)用急劇上升。
TAG-MC公司的總裁Abdul Jaludi解釋:“云服務(wù)器在處理器��、內(nèi)存和輸入/輸出方面面臨限制�����,用戶請求時通常決定了這樣��。這些資源與云環(huán)境的其他用戶共享��,根據(jù)需要在諸云服務(wù)器之間轉(zhuǎn)移�。云服務(wù)器使用所需的任何資源,但不得超過配置的資源數(shù)量�����。在許多公司�,允許用戶超額使用所配置的資源,但是成本要高得多����,這非常像手機(jī)服務(wù)套餐���。”
19. 沒法核查第三方提供商其實在如何處理你的數(shù)據(jù)����。
AeroFS公司的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Yuri Sagalov說:“人們在談?wù)摴性瓢踩珪r,居心叵測的內(nèi)部人員是最值得關(guān)注�、未引起充分重視的問題之一。如果將存儲和計算這一塊外包給第三方提供商�,你現(xiàn)在不但需要信任自己的員工,還需要信任請來存儲和處理數(shù)據(jù)的第三方提供商的員工����。”
Good Technology公司的首席技術(shù)官Nicko van Someren補(bǔ)充道:“一些云服務(wù)提供商以企業(yè)不希望或者可能侵犯員工隱私的方式挖掘企業(yè)數(shù)據(jù)。確保云服務(wù)提供商能夠為客戶提供審計日志���,查明可能訪問企業(yè)數(shù)據(jù)的每個人�����,可能還要證明他們通過了必要的背景調(diào)查和許可�����。”
20. 大牌云服務(wù)提供商不需要核實�。
選擇一家大牌云服務(wù)提供商似乎合情合理��,畢竟它們通常擁有龐大的網(wǎng)絡(luò)、遍布全球的數(shù)據(jù)中心和極高的業(yè)內(nèi)知名度��。很容易相信它們不犯錯����。它們太龐大了,不會倒閉��。
Infinitely Virtual公司的首席執(zhí)行官兼創(chuàng)始人Adam Stern告誡����,別犯“相信對方而懶得核實”這個毛病。“雖然對方公司不會倒閉�,但你公司可能會倒閉。不合時宜的停運(yùn)或故障可能會釀成重大危害�。”
Stern勸你要全面了解你與提供商之間的支持關(guān)系。“如果本該安全的環(huán)境突然出現(xiàn)了漏洞���,誰來處理投訴����、誰來實際提供幫助?”
結(jié)論:消除云誤區(qū)讓你可以減小風(fēng)險
Avail Partners公司的Maurice認(rèn)為:“當(dāng)中央情報局(CIA)和納斯達(dá)克(NASDAQ)都開始將工作負(fù)載部署到云上��,能不能確保云的安全這個爭論就不復(fù)存在了�����。”
繼續(xù)相信云方面的種種誤區(qū)只會阻礙貴企業(yè)獲得云的諸多好處�����。
弗雷斯特研究公司的高級分析師Lauren Nelson解釋:“公有云實際上是為全新的項目或投資盡量減小財務(wù)風(fēng)險的機(jī)會����。”
