電子發燒友App
有人認為,云安全是整個行業中最棘手的問題,而且它們在近期內不會被解決,但是也有人認為云安全并不是什么大問題,因為與客戶相比云服務提供商擁有更嚴格的安全措施。
在許多關于這一話題的調查中,安全問題總是一個重要顧慮,它們也因此成為了許多IT商店的頭等大事。目前已經有了一些安全標準創新方案,這些標準可能最終會幫助消除一些問題,但是目前距離這些標準的出臺還有很長的一段路要走。
現在有一件事情以明確,即在沒有親自進行充分調查之前不要做任何假設。市場研究公司Gartner 的分析師Jay Heiser一直致力于研究企業和法規所面臨的潛在風險。Heiser 稱:“服務提供商可能正在為保護數據做大量工作,或是正在創建安全性更好的應用框架,這固然不錯,但是最大的問題在于你如何確定他們正在做這些工作。如提供商無法(通過測試和數據驗證)證明他們產品的安全性像他們所宣傳的那樣。如此一來,你將無法做出是否選擇他們的決定。”
印第安納大學摩利爾法學院網絡安全應用研究中心主任Fred Cate稱,在涉及云安全時,公司所面臨的最大一個難題是,誰應當在法律方面承擔負責。
Cate稱:“云服務提供商認為公司應當為此承擔責任,而公司則認為云服務提供商應當承擔責任。為了解決這一問題,一些公司選擇了微軟等值得信賴的服務提供商。”不過,他指出,這一做法導致客戶的可選擇性大幅降低,同時這一做法也不能確保數據的安全性,因為你僅僅為你的云基礎設施選擇了一個知名的服務提供商而已。
幸運的是,一些新技術正在幫助確保云的安全,至少對于員工來說將知識產權或敏感數據公布在公有云上將變得更加困難。
美國聯合航空公司:在飛機上部署云計算
美國聯合航空公司開始著手進行一項激進的試驗。美聯航今年將為機組成員提供10000部蘋果iPad.這些iPad將替代存放手冊、航圖和其它用于飛行準備的非敏感信息的飛行包。機組成員可訪問Jeppesen等托管服務提供商,以獲得在線飛行手冊服務 。美聯航還將iPad作為更新公司新聞和員工信息的通訊工具。
John Van Hoogstraten為美聯航負責IT安全與風險管理的常務董事。他稱,公司傾向于逐漸開展與云相關的部署,但是由于iPad等移動設備具有許多優勢,因此他們無法再推遲相關的部署事宜,這些優勢包括可以更好的管理飛行手冊,降低燃料成本,因為機組成員不必再攜帶沉重的飛行包。
他稱,公司目前正在使用賽門鐵克的產品進行身份管理和病毒防護,下一步他們將考慮部署名為“賽門鐵克O3云身份與訪問控制”的單點登錄產品以執行單一認證程序。
美聯航負責IT安全與風險管理的常務董事John Van Hoogstraten稱,他們正在考慮使用單點登錄技術以簡化云軟件的認證。
Hoogstraten :“我們需要使用一個安全的認證系統以確保使用iPad的人的身份,尤其是在飛行員飛往那些缺乏安全保障的第三世界國家時。”他的計劃是使用單點登錄,因為其可以接入美聯航的活動目錄(Active Directory)系統并為機組成員訪問服務提供商提供一個入口。這意味著飛行員不必多次登錄不同的服務,這樣一來可以節省飛行員們的時間。
單點登錄是最常見的一種處理云安全問題的新機制。這意味著在發生問題時只有一個故障點。O3將作為一種工具在數據中心運行,這意味著所有的云訪問都將流經該設備,這有可能會降低連接速度。
Heiser 稱:“單點登錄解決了云安全的根本問題,即便捷性與安全性的平衡。當然,認證并不總是最大的問題。讓我們回顧一個Gmail(密碼)事故吧。在事故中,人們能夠輕易地獲得訪問權。許多公司應當意識到密碼存在缺陷。”
為了解決這一問題,賽門鐵克使用了雙因素認證。典型的情況是,員工需要安裝在iPad上的標記ID和密碼才獲取訪問云服務的訪問權。
Cate稱,在處理類似iPad訪問公司系統的新安全問題中,一個穩妥的解決方案是將安全審計作為部署內容的一部分。安全審計的一個好處是你可以發現一些潛在的風險,例如過度依賴于某一種策略。“如果你將大量數據存儲在一個地方,那么你就越容易成為被攻擊的目標,同時你也就越值得黑客花時間攻擊你。”
他稱,安全評估必須要細致,除了數據存儲和策略外,還要檢查類似iPad或智能手機等特定的設備。這意味著要使用自動化風險管理工具和進行風險評估。例如,美聯航飛行員將率先使用iPad交流公司中發生的新聞。如果執行官們決定將向地勤人員部署平板電腦,那么公司應當對整體風險進行評估。
“每個公司都應當考慮這些問題:如果這么做的話,將會遇到多少麻煩?這么做的風險是多大?不要僅關注在法律生產上的麻煩,還要關注對公司聲譽和股東帶來的影響。”
羅克福德市:將社交網絡記錄存在云上
對于美國伊利諾斯州的羅克福德市來說,任何涉及云計算的解決方案都受到了政府法規的約束。例如,伊利諾斯州出臺了《本地記錄法案》。該法案規定公共記錄,包括基于云的數據都必須留檔一段時間。不過具體多長時間,州和市的規定不盡相同。
與此同時,羅克福德市決定啟動新的交流方式與市民進行互動。該市的一名Web開發員與管理員Kevon Hayes稱,市政府希望使用推特或臉譜,但是他們必須要找到一個辦法以確定這些數據的備份能夠被安全存儲,并且在需要的時候能夠被重新取回。
Kevon Hayes稱,市政府希望使用推特或臉譜,但是為了遵守本地記錄法,他們必須要找到一個辦法確保這些數據的備份能夠被安全存儲。
羅克福德市選擇了Backupify服務。該存檔服務能夠掃描市政部門領導發至社交網絡上的貼文,并將這些數據存儲到亞馬遜S3云存儲服務上。
Hayes稱,大約有1000名雇員和6名部門領導會向社交網絡發貼。他每三個月就會檢查一下位于亞馬遜上的XML數據,查看一下社交網絡記錄是否存儲在那里。
Backupify還是一款可對來自谷歌Apps、 Gmail和Salesforce的數據進行存檔的備份工具。由于數據被存儲在亞馬遜S3上,因此羅克福德市的數據能夠通過亞馬遜服務向多個遠程位置傳輸。
Alan Brill為風險管理公司Kroll的一名分析師,他認為云安全不僅僅是加密遠程連接和對用戶進行認證。許多公司都忽視了員工在日常工作中訪問社交網絡和消費者網站的行為。
Brill 稱:“公司是否將社交網絡納入其云安全整體策略中非常關鍵。所有的事情都存在風險。公司需要一些工具,以清楚正在發生什么事情,誰正在將什么信息貼在云上,以及如何獲得這些數據。”
Cate 稱:“云備份的最大優勢是增加了靈活性。用戶可以通過臺式機或遠程設備隨時隨地獲取存檔的數據。目前用于備份的磁帶會出現退磁理現象,用戶必須對備份手段進行升級。另一方面,選擇云服務將會導致用戶將具有重要價值的資源交到別人手中。因此用戶應當對這一需要進行全面細致的調查。”
Cate認為,公司需要對數據存儲位置進入調查。如果存儲行為會跨越國家邊境,用戶應當及時確認這么做在法律方面會出現什么樣的后果。如果數據被存儲在其他國家,用戶需要確認可以自由地訪問這些數據。
Nice Shoes:確保遠程審片的安全性
許多IT經理認為云安全就是保護數據或是確保在Dropbox上共享文件的“流氓”員工不會泄露公司秘密。不過對于靠制作電視廣告和為Beyonce等藝術家制作MV為主業的Nice Shoes來說,云安全遠遠不止這些。他們的目標是保護創意內容的安全。
公司首席信息官Robert Keske稱,經常會有客戶提出希望參與非正式的審片會,查看工作的進展情況。
雖然視頻將上傳至云上,但是公司將會對它們的安全性與質量進行管控。這其中有兩個重要的標準。一個標準是公司不希望發生原始素材被人竊取的事情。另一個標準是遠在洛杉磯或是全球其他地方的客戶所看到的視頻在分辨率和色彩等質量上必須與制作者在紐約辦公室里所看到的一樣。
Nice Shoes首席信息官Robert Keske稱,公司允許客戶觀看他們的電視廣告和MV,但是公司十分重視對安全和質量的管控。
Nice Shoes安裝了一個內部IPTV,實際上與你在家中看到的AT&T U-verse很相似。公司通過思科ASA 5520安全工具建立數據連接和一個IPsec(互聯網協議安全協議)VPN.后者實際上是擴展了公司的私有網絡。
為了保證質量達到標準,Nice Shoes使用了一項名為FEC(前向糾錯)的技術。這種技術可以持續的監視數據流,并糾正傳輸中出現的像素級錯誤。在另一地的審片室將使用Nice Shoes為滿足特定標準而安裝的顏色校正軟件。
另一個值得關注的特點是:Nice的IPsec被配置在思科的硬件上,其能夠自動進行通報。這意味著客戶不再需要對思科生態系統組成部分的設備做任何設置,當客戶首次進行安全連接時,Nice Shoes的IT員工能夠對設備進行遠程設置。
由不提供公共訪問,因此客戶審片的安全性得到了進一步保護。客戶只能通過端點工具觀看廣告或MV,這是唯一途徑。如果沒有設置適當的IPsec、VPN和FEC,那么系統將不會工作。
摩森康勝啤酒釀造公司:用云進行身份管理
在總部位于丹佛的摩森康勝公司內部,身份管理系統正在與時俱進。
公司首席安全信息官Kevin Schmitt發現,由8名員工組成的小型安全團隊已經難以對現有應用提供支持。培訓新的員工,設置密碼,提供訪問權限已經變為了一件十分累人的工作。目前,公司的身份管理極有可能轉移到云上,主要是因為公司的數據中心已經外包給了服務提供商。
Schmitt 稱:“我們必須找到一個新的身份管理系統。新系統不應當像現在這樣零碎,同時其還必須包括所有的員工身份和外部合同商管理規定。”
Schmitt表示,他沒有考慮單點登錄產品,因為公司基礎設施不僅僅涉及訪問Web服務。他希望找到一個“綜合性”解決方案,即身份管理系統能夠橫跨所有被托管的業務平臺和Web服務,包括那些在本地托管的平臺和服務在內。
最終,他決定與專門銷售身份與訪問管理軟件的Lighthouse安全集團進行合作。在新系統大規模部署前,公司的老身份管理系統可以進行多重登錄,甚至與指定的員工角色沒有關系的人也可以登錄。此外,摩森康勝公司還需要對配置與解除配置、Web SSL、登錄、VPN和其它訪問點進行管理。
Schmitt對復雜性有著充分的認識。在數據中心上運行身份管理系統方面,Schmitt的經驗是必須要搞清楚自己的系統和傳輸至云身份管理上的主數據元素。同時,他還確信自己擁有管理系統的密鑰,以防止提供商倒閉。
Schmitt權衡了云安全因素后認為學習身份管理將成為他手下員工們的一場噩夢。因為目前這些員工的壓力已經很大了。“我不能說自己沒有對新系統任何擔心和懷疑。盡管這些云提供商的認證方式存在差異,但是公司內部的身份管理系統與它們相比沒有任何優勢。”
密切關注自己的數據平臺,評估使用云服務的風險,然后確定它們是否能夠滿足公司的綜合需求。Brill稱,雖然云安全為決策帶來了一些顧慮,但是如果充分理解其中的風險和它們影響公司的途徑,那么可以緩解這些顧慮。
正在制訂中的云安全標準
目前美國聯邦政府正在參與標準的制訂工作。美國聯邦風險和授權管理項目(FedRAMP)試圖出臺一套云安全標準,以便于公司評估第三方云服務提供商。該標準目前還沒有被公布。觀察人士指出,FedRAMP還在緊張的討論中。
第二個方案是通用保障成熟度模型(CAMM),其目的是開發出一套評分系統。該系統與數據中心電源使用效率(PUE)并沒有太大的區別。Gartner的分析師Jay Heiser稱,雖然這一個第三方評估程序應用前景不錯,但是目前已經暫時了六個月時間。
?
工商網監
評論