Vormetric副總裁C.J. Radford解釋，2014年，越來越多的亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）客戶無法使用AWS/S3來確保其網(wǎng)絡(luò)的安全性。2015年，這個趨勢將愈演愈烈，更多的企業(yè)會使用云計算應(yīng)用程序，目的是為了保護自身，遠離日益猖獗的網(wǎng)絡(luò)威脅。

Radford在接受TechRepublic通過電子郵件的采訪中暢談2015年云計算安全趨勢時還預(yù)計，企業(yè)會“打開錢包”，保護軟件即服務(wù)（SaaS）產(chǎn)品，更多的信息即服務(wù)（IaaS）提供商會提供加密和訪問控制服務(wù)，以及托管型私有云的數(shù)量會超過內(nèi)部私有云，成為首選環(huán)境。

Vormetric公司創(chuàng)辦于2001年，為1400多個客戶提供企業(yè)加密和密鑰管理服務(wù)，這些客戶包括《財富》25強名單上的17家知名企業(yè)。據(jù)Radford聲稱，目前，企業(yè)在數(shù)據(jù)安全方面面臨的主要挑戰(zhàn)是，“將數(shù)據(jù)遷移到云端，同時確保數(shù)據(jù)可靠、加密和安全，另外還要設(shè)法保留密鑰所有權(quán)，面向基礎(chǔ)設(shè)施、平臺和軟件服務(wù)組成的整個云計算架構(gòu)。”

在這篇采訪中，Radford還討論了他對首席信息安全官們會給出怎樣的建議，保護靜態(tài)數(shù)據(jù)，Vormetric的數(shù)據(jù)安全解決方案以及合規(guī)領(lǐng)域的趨勢。

TechRepublic：2015年馬上就要到來，您認為數(shù)據(jù)安全領(lǐng)域的趨勢主要有哪些？

C.J. Radford：我可以告訴你我們在云計算安全方面預(yù)計會看到的幾個趨勢。

2014年，我們看到AWS的客戶表示他們無法使用亞馬遜的AWS/S3服務(wù)來確保自己的網(wǎng)絡(luò)安全。這個趨勢在2015年將愈演愈烈；由于無力跟上安全攻擊和威脅變化的速度，還有由此帶來的法律和合規(guī)要求，中小公司/企業(yè)使用云計算應(yīng)用程序的步伐會加快。

[[125346]]

Vormetric副總裁C.J. Radford

由于2014年企業(yè)應(yīng)用程序開支當(dāng)中超過50%用于SaaS，又由于在云端使用和存儲的信息中一大部分是敏感數(shù)據(jù)，企業(yè)勢必會打開錢包，增加用于保護SaaS的開支。如果SaaS提供商提供明確的安全控制服務(wù)，在數(shù)據(jù)位置方面給出更多的細節(jié)，并許以書面的安全承諾，就會發(fā)現(xiàn)業(yè)務(wù)增長，而這方面滯后的競爭對手只會遭殃。

我還認為所有專業(yè)的IaaS和主機托管提供商會為客戶提供企業(yè)和訪問控制服務(wù)。由于服務(wù)標(biāo)準(zhǔn)越來越高以獲得企業(yè)客戶，IaaS和主機托管提供商將為企業(yè)客戶提供一套基本的服務(wù)和一套高級的服務(wù)，以便客戶保護自身環(huán)境里面的數(shù)據(jù)。

最后，托管型私有云將取代內(nèi)部私有云，成為主導(dǎo)型的私有云環(huán)境。由于更多的云服務(wù)提供商廣泛提供規(guī)模經(jīng)濟效益、服務(wù)級別承諾以及安全可視性和控制性，企業(yè)會日益青睞集兩者之眾長的托管型私有云環(huán)境。那樣既能得到公有云提供的可擴展性，又能獲得企業(yè)數(shù)據(jù)保護和操作所需要的更高安全性。

TechRepublic：您會為一家大中型企業(yè)力求提升數(shù)據(jù)安全能力的首席信息安全官會給出怎樣的建議？

C.J. Radford：考慮大型中企業(yè)的安全狀況時，我建議首席信息安全官們要著眼于需要保護的數(shù)據(jù)，并審查一下要在IT架構(gòu)上下端部署什么樣的安全解決方案，以便保護對企業(yè)來說最重要的數(shù)據(jù)。

首先，企業(yè)應(yīng)該在整個IT架構(gòu)上使用“同類中最佳“的安全解決方案。必需作出的一個調(diào)整是需要加強對數(shù)據(jù)保護的重視。這樣做的原因是，強大的邊界、網(wǎng)絡(luò)和端點防御體系不再足以保護敏感數(shù)據(jù)。不管這些傳統(tǒng)防御體系有多強大，它們很容易受到攻擊者現(xiàn)有的一套攻擊手法、挖掘技術(shù)和提取策略所帶來的破壞。再加上云計算和移動計算讓邊界模糊起來，所以IT安全策略和實施很顯然需要一種強大的數(shù)據(jù)保護要素。

其次，要確保貴企業(yè)的內(nèi)部IT和安全策略及規(guī)程得到遵守，并不斷加以測試，確保符合那些策略。

最后，要制定計劃，防備安全事件發(fā)生，從而限制此類事件造成的負面影響，以免到時措手不及，因為這不是你會不會遇到安全事件的問題，而是安全事件何時發(fā)生、如何發(fā)生的問題。購置能事先檢測威脅的工具，還要落實了威脅緩解計劃，盡量減小損失。

TechRepublic：為什么保護靜態(tài)數(shù)據(jù)對企業(yè)部署云服務(wù)而言至關(guān)重要？

C.J. Radford：保護靜態(tài)數(shù)據(jù)對企業(yè)部署云服務(wù)而言絕對必不可少，那是由于知名機構(gòu)的數(shù)據(jù)泄密事件層出不窮、國家隱私法規(guī)急劇增多，以及合規(guī)要求日益嚴格。在上述任何方面落后的企業(yè)有可能錯失商機，或者面臨更糟糕的后果。

充分利用云計算環(huán)境具有非常顯著的商業(yè)和經(jīng)濟效益，但是如果企業(yè)沒有落實適當(dāng)?shù)姆婪洞胧?，那些效益也就無從談起。要想一想數(shù)據(jù)泄密事件之后給企業(yè)聲譽和收入造成的影響，或者違反數(shù)據(jù)儲存地點（data residency）法律之后出現(xiàn)的棘手的法律難題。

TechRepublic：Vormetric數(shù)據(jù)安全解決方案的主要優(yōu)點是什么？

C.J. Radford：Vormetric數(shù)據(jù)安全平臺提供了一套全面的解決方案，適用于諸多數(shù)據(jù)庫、平臺（Linux、Windows和Unix）以及操作環(huán)境（數(shù)據(jù)中心、大數(shù)據(jù)和私有云/公有云/混合云）。

我們的解決方案讓數(shù)據(jù)庫里面的信息保護起來變得難度更小、成本更低。該平臺讓企業(yè)可以采用統(tǒng)一、可重復(fù)的方式迅速部署。企業(yè)可以采取一種一致、集中的方法，沒必要使用大量單點產(chǎn)品。

同樣，管理起來也簡單而高效。Vormetric數(shù)據(jù)安全平臺提供了一種簡單直觀、基于Web的界面、應(yīng)用程序編程接口和命令行接口。由于可以在整個企業(yè)迅速一致地實施數(shù)據(jù)庫安全性，IT資源能夠得到更高效的使用。

當(dāng)然，該平臺提供了加密數(shù)據(jù)、控制訪問以及創(chuàng)建細粒度的安全情報日志等方面的功能，從而幫助企業(yè)迅速滿足安全和合規(guī)方面的要求。

TechRepublic：在數(shù)據(jù)安全市場，Vormetric的技術(shù)有何過人之處？

C.J. Radford：只有Vormetric為靜態(tài)數(shù)據(jù)加密以及文件系統(tǒng)級和卷級的訪問控制提供了單一的可擴展解決方案，易于保護任何文件、數(shù)據(jù)庫或應(yīng)用程序，無論它們駐留在何處。競爭對手的解決方案側(cè)重于加密或者訪問控制，對操作系統(tǒng)平臺和云計算環(huán)境的支持很有限，密鑰管理方面的選項也很有效。使用Vormetric的客戶可獲得以下好處：1）透明加密，2）細粒度的訪問控制，3）安全情報，以及4）對云計算平臺的廣泛支持。

TechRepublic：在企業(yè)云計算領(lǐng)域，合規(guī)方面的趨勢主要有哪些？

C.J. Radford：對數(shù)據(jù)中心建在與客戶不在一個國家的云服務(wù)提供商（CSP）來說，數(shù)據(jù)主權(quán)常常是個全球性的大問題。企業(yè)不喜歡自己的數(shù)據(jù)離開本國的保護，這主要是由于嚴格的數(shù)據(jù)儲存地點法律，或者擔(dān)心誰擁有訪問該數(shù)據(jù)的法律權(quán)利。最近，我們已看到亞馬遜和VMware等CSP采取了這一步：在其他國家開設(shè)數(shù)據(jù)庫中心，以滿足該國客戶的要求。我認為，我們進入新的一年后，會看到越來越多的CSP走這條路。

全球已頒布了成百上千部數(shù)據(jù)隱私法律，但我們的口號仍然一樣：如果企業(yè)關(guān)注滿足數(shù)據(jù)儲存地點方面的要求，就應(yīng)該對所有靜態(tài)數(shù)據(jù)進行加密，只允許從數(shù)據(jù)起源的國家訪問靜態(tài)數(shù)據(jù)。

TechRepublic：Vormetric解決方案如何能夠為客戶滿足合規(guī)要求？

C.J. Radford：我們服務(wù)于20個國家的1400多個客戶，涉及一系列廣泛的行業(yè)，包括醫(yī)療保健、零售、消費品、制造、銀行、保險、政府和CSP等行業(yè)，所以可以說，我們對合規(guī)可謂了如指掌！簡而言之，Vormetric數(shù)據(jù)安全平臺提供了一套通用的、可擴展的實施基礎(chǔ)設(shè)施，通過保護靜態(tài)數(shù)據(jù)來支持合規(guī)制度。我們的客戶必須遵守的一些最常見的合規(guī)法律包括：《健康保險可攜性及責(zé)任性法案》（HIPAA）、《薩班斯－奧克斯利法案》，當(dāng)然還有各州和國家的數(shù)據(jù)泄密及保護法律。

我們的客戶最關(guān)注的是支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）最近修訂了內(nèi)容。自2015年1月1日起，訪問、存儲或傳輸持卡人數(shù)據(jù)和個人身份信息的所有公司必須滿足新的3.0標(biāo)準(zhǔn)。我們知道這對我們的客戶來說有多重要，于是發(fā)行了一份白皮書，闡述新規(guī)則以及Vormetric透明加密解決方案（Vormetric Transparent Encryption）如何有助于實現(xiàn)PCI DSS加密。

另一個重要的監(jiān)管法規(guī)是新的網(wǎng)絡(luò)安全框架，即《聯(lián)邦風(fēng)險和授權(quán)管理方案》/美國國家標(biāo)準(zhǔn)與技術(shù)研究所（FedRAMP/NIST）。政府機構(gòu)以及想與聯(lián)邦政府打交道的CSP必須滿足基本的安全標(biāo)準(zhǔn)。我們對于NIST采取的方法與PCI DSS相似，也出版了一份白皮書，表明了Vormetric的數(shù)據(jù)安全功能如何滿足最新的NIST安全控制要求。

英文原文鏈接：http://www.techrepublic.com/article/cloud-security-and-compliance-trends-in-2015-according-to-vormetrics-c-j-radford/