云安全問題你考慮了嗎？

由于在企業(yè)內(nèi)部維護硬件和軟件價格昂貴，于是將企業(yè)IT架構(gòu)交給云計算也成了順理成章的事情。主要的優(yōu)勢包括：當(dāng)IT架構(gòu)作為互聯(lián)網(wǎng)服務(wù)提供給你時，你不再需要有專業(yè)知識或者對其進行控制，你只要把所有東西交給云計算就可以了，并且價格很實惠。但是，如同所有新技術(shù)一樣，太多人部署云計算方案，以至于還沒來得及考慮云安全問題。

福特汽車公司的安全顧問兼高級web設(shè)計架構(gòu)師Matt Schneider

我對于云安全問題非常感興趣，目前我們正在開發(fā)一種web應(yīng)用程序，用來向大眾提供安全的電子郵件、聊天、留言板和協(xié)作的平臺，同時我們網(wǎng)絡(luò)和數(shù)據(jù)庫服務(wù)器中的所有內(nèi)容都是用強大的加密功能和密鑰進行保護。

作為web開發(fā)人員，我很清楚開發(fā)人員會鼓吹自己已經(jīng)盡全力去保護用戶數(shù)據(jù)了，雖然只是將用戶數(shù)據(jù)以純文本形式存儲在共享網(wǎng)站。在大多數(shù)情況下，你的個人信息對于其他人以及你所訪問的網(wǎng)站而言都是沒有價值的，人們總是過于信任web應(yīng)用程序，將自己的信息都暴露在上面。

大部分互聯(lián)網(wǎng)數(shù)據(jù)都是不重要的數(shù)據(jù)，這些數(shù)據(jù)也很少會被偷竊或破壞，但是也難免出現(xiàn)這樣的情況，我們在論壇或者聊天工具中談?wù)摍C密信息，而碰巧被某些人截獲。到底普通用戶對于云計算有多關(guān)注呢?可能大部分人都沒有想過云計算，就像最近Facebook和Twitter發(fā)生的攻擊事故，如果用戶真的擔(dān)心信息安全問題，就應(yīng)該停止使用這些平臺。

對于一個網(wǎng)站而言，尤其是那些用戶透露重要個人信息的網(wǎng)站，是否安全主要可以從以下幾個方面體現(xiàn)：

• SSL連接

• 信譽認(rèn)證(如 Verisign和 GeoTrust認(rèn)證等0)

• 多個信譽認(rèn)證(Verisgn、McAffee和BBB等)

• 可信的公司名

• 廣泛宣傳

• 媒體推薦

• 大量用戶群體

我認(rèn)為以上條件基本可以確定某個網(wǎng)站是否能夠保護客戶的重要信息。通常用戶會根據(jù)自己的判斷而信任某個網(wǎng)站能夠保護他們的數(shù)據(jù)，即使不知道網(wǎng)站是如何保護他們的數(shù)據(jù)或者存儲位置。但是這樣真的安全么?

位于加拿大安大略省PerspecSys公司的CEO兼CTO Terry Woloszyn：

當(dāng)有人想要采用基于云計算的應(yīng)用程序時，通常他們需要確保這幾個因素：隱私性、存儲位置和安全(PRS)。云安全方面主要分為兩類：云計算供應(yīng)商提供的數(shù)據(jù)安全保護以及云計算供應(yīng)商防火墻與用戶驗證之前的數(shù)據(jù)安全。因此，在考慮什么是云計算問題之前，你需要建立一個分類。

Wikibon Project的合作伙伴兼主要研究負(fù)責(zé)人 Michael Versace：

有些人把云安全描繪得過于復(fù)雜。安全是基于風(fēng)險的規(guī)則，用戶首先需要理解云服務(wù)中存在的固有風(fēng)險，然后部署最佳的企業(yè)化的/管理/業(yè)務(wù)流程和技術(shù)控制來管理風(fēng)險，將風(fēng)險控制到可接受的級別。

網(wǎng)絡(luò)安全顧問George Moraetes：

云計算是一種業(yè)務(wù)概念，俗稱為SaaS(軟件即服務(wù))、PaaS(平臺即服務(wù))和IaaS(基礎(chǔ)設(shè)施即服務(wù))。實際上，它是指將數(shù)據(jù)中心外包給第三方供應(yīng)商(自詡其產(chǎn)品是最佳最安全的產(chǎn)品)，問題在于，在云計算中將每個系統(tǒng)都認(rèn)為是可靠的，而實際上沒有百分之百安全的系統(tǒng)。

首先我們來分析下這個“云”，將它作為向企業(yè)提供計算服務(wù)的外包數(shù)據(jù)中心。如果提供的服務(wù)是指軟件、平臺或者基礎(chǔ)設(shè)施，那么保護這些特殊的服務(wù)的安全性就應(yīng)該與保護遵守行業(yè)最佳做法的非外包服務(wù)一樣，但是實際情況是這樣嗎?企業(yè)真的能夠控制外包出去的數(shù)據(jù)安全么?安全本身可以作為保護數(shù)據(jù)和交易而外包出去嗎?企業(yè)能夠向供應(yīng)商解說清楚如何保護他們的數(shù)據(jù)么?當(dāng)數(shù)據(jù)外包給第三方后，誰持有這些數(shù)據(jù)?數(shù)據(jù)存儲在哪里?誰控制這些數(shù)據(jù)?這些都是涉及數(shù)據(jù)違規(guī)法律責(zé)任問題的。

其實云計算可能造成的安全損失要遠(yuǎn)遠(yuǎn)超過部署本地服務(wù)的成本，從法律角度來看，最好能夠確保那些鼓吹能夠運行其數(shù)據(jù)中心保護數(shù)據(jù)的外包第三方能夠真正履行其承諾。

我認(rèn)為云安全應(yīng)該是這樣：能夠確保企業(yè)傳統(tǒng)數(shù)據(jù)中心所部署的技術(shù)和操作在第三方供應(yīng)商也有。而不屬于云安全的包括合法性、最佳做法和行業(yè)標(biāo)準(zhǔn)，這些控制安全框架(已經(jīng)成為熱門問題)的問題，這些方面極具吸引力，因為成本問題。

KVH 公司的信息安全經(jīng)理Venkatesh Ravindran ：

眾所周知，基礎(chǔ)安全是以可用性、完整性和保密性為核心的，云安全必須解決這些基本的安全問題。換個角度看主要包括以下安全問題：

• 網(wǎng)絡(luò)外圍安全(由云計算安全供應(yīng)商部署的外圍安全)

• 網(wǎng)絡(luò)通信安全(客戶與云安全供應(yīng)商之間的通信)

• 應(yīng)用程序/平臺安全(這是最具挑戰(zhàn)的部分，因為大部分應(yīng)用程序或者平臺都具有多重性)

• 數(shù)據(jù)安全

• 法律法規(guī)與合規(guī)

Maricom系統(tǒng)公司的主要架構(gòu)師/CSO Wing Ko：

我同意George Moraetes的觀點，云計算只是數(shù)據(jù)中心外包。雖然不同模式(*aaS)，使用方式以及供應(yīng)商如何部署服務(wù)等，云安全都要比傳統(tǒng)數(shù)據(jù)中心外包更復(fù)雜。

話雖如此，我也同意Mike Versace的說法，我們應(yīng)該提供一些基本的辦法來幫助大家的了解并提出一些問題，我一直以來使用的方法就是RAIN(如下)，這是屢試不爽的規(guī)劃和分析方法：

• (R)equirement要求：了解你的業(yè)務(wù)需求，從中歸類出技術(shù)需求、非技術(shù)需求、管理要求和安全要求等。

• (A)nalysis分析：從你的業(yè)務(wù)要求出發(fā)，對你想要或者能夠外包的任務(wù)或者服務(wù)進行分析，并且明確那些任務(wù)是由哪些人負(fù)責(zé)，以免增加后期工作難度。然后進行風(fēng)險分析，特別是從云連接、多重性、本地數(shù)據(jù)隱私法規(guī)和業(yè)務(wù)連續(xù)性來考慮。

• (I)nterface界面：明確界定系統(tǒng)和用戶界面。誰負(fù)責(zé)聯(lián)系供應(yīng)商或者如何向供應(yīng)商咨詢問題?使用哪些API或者網(wǎng)頁?如何使用?返回的結(jié)果是怎樣的?界面/接觸點越多，數(shù)據(jù)泄漏發(fā)生的幾率就越高

• e(N)sure確保：核查和確保服務(wù)是根據(jù)條款來執(zhí)行的。測試供應(yīng)商發(fā)送的結(jié)果以確保是以你期望的格式發(fā)送的，審計或者筆測服務(wù)，執(zhí)行供應(yīng)商運行的操作

云安全總結(jié)

云計算技術(shù)的廣泛應(yīng)用使得企業(yè)越來越依賴于云基礎(chǔ)設(shè)施以及作為互聯(lián)網(wǎng)服務(wù)而提供的虛擬資源，但是安全專家擔(dān)心，很多企業(yè)在投入云計算之前都沒有考慮風(fēng)險問題。