某些IT專業(yè)人士天性比較保守：由于對(duì)安全挑戰(zhàn)及其他問題心存疑慮，這影響了他們對(duì)所有新穎的創(chuàng)新技術(shù)抱有的熱情。這一方面純粹是我們這個(gè)行業(yè)的本質(zhì)使然。畢竟，我們的工作是預(yù)料風(fēng)險(xiǎn)，想出具有創(chuàng)意的方法來緩解風(fēng)險(xiǎn)。然而，這種謹(jǐn)慎也導(dǎo)致了那種廣泛思考和總體結(jié)論，最終對(duì)于企業(yè)組織層面應(yīng)對(duì)每個(gè)安全挑戰(zhàn)沒有多大幫助。比較云安全和傳統(tǒng)網(wǎng)絡(luò)安全時(shí)，普遍的懷疑來得尤為明顯。許多IT專業(yè)人士認(rèn)為云安全風(fēng)險(xiǎn)比較大。

[[147215]]

之所以會(huì)有這樣的認(rèn)識(shí)，原因之一完全是由于媒體曝光。隨著更多數(shù)據(jù)遷移到網(wǎng)上，勢(shì)必會(huì)爆出更多的安全泄密事件。由于許多這些泄密事件備受矚目(牽涉來自幾大零售商的客戶個(gè)人數(shù)據(jù))，它完全證明了這個(gè)事實(shí)：諸多企業(yè)組織的工作負(fù)載在日益遷移到云端。

我們應(yīng)該要問的問題不是云計(jì)算方面是否有更多的安全挑戰(zhàn)，而是我們?nèi)绾胃纳谱陨淼陌踩珷顩r，以便更有效地管理風(fēng)險(xiǎn)。最近塔吉特(Target)、聯(lián)合包裹服務(wù)(UPS)及其他商業(yè)組織爆出的泄密事件應(yīng)該不僅僅是表明云不太安全的警示故事，還生動(dòng)地表明了設(shè)計(jì)和實(shí)施很糟糕的系統(tǒng)如何將大數(shù)據(jù)置于險(xiǎn)境。

2015年云計(jì)算安全現(xiàn)狀

要是對(duì)云計(jì)算的現(xiàn)狀缺少清晰的認(rèn)識(shí)，就根本無法從大體上探討傳統(tǒng)網(wǎng)絡(luò)安全與互聯(lián)網(wǎng)安全的區(qū)別。據(jù)RightScale公司對(duì)IT專業(yè)人士開展的調(diào)查顯示，2015年云計(jì)算行情如下：

混合云系統(tǒng)仍是首選的方法，其中應(yīng)用程序和數(shù)據(jù)存儲(chǔ)在托管服務(wù)提供商(MSP)與內(nèi)部部署型系統(tǒng)之間共享。目前，82%的企業(yè)使用混合云模式。

88%的企業(yè)將數(shù)據(jù)存儲(chǔ)在公有云上，63%的企業(yè)使用私有云。然而，私有云網(wǎng)絡(luò)通常處理的工作負(fù)載比私有云網(wǎng)絡(luò)來得龐大繁重。13%的企業(yè)在公有云上運(yùn)行的虛擬機(jī)數(shù)量超過1000個(gè);22%的企業(yè)在私有云上運(yùn)行的虛擬機(jī)數(shù)量超過1000個(gè)。

目前，68%的云用戶將不到20%的工作負(fù)載存儲(chǔ)于網(wǎng)上。一半以上的調(diào)查對(duì)象聲稱，另外20%的工作負(fù)載目前隨時(shí)可以遷移到云端，不過仍存儲(chǔ)在企業(yè)內(nèi)部環(huán)境。

我們可以從上述統(tǒng)計(jì)數(shù)字中比較清楚地了解誰(shuí)在使用云、他們?cè)谌绾问褂迷?。這應(yīng)該決定我們對(duì)于安全的認(rèn)識(shí)。一旦我們更清楚地了解了什么遭到威脅、誰(shuí)是主要的利益相關(guān)者，就能對(duì)我們自身的IT基礎(chǔ)設(shè)施做出更明智的決策。

真實(shí)的恐懼與感覺的恐懼

從許多方面來看，云計(jì)算和軟件即服務(wù)是其自身成功的受害者。只要企業(yè)的業(yè)務(wù)經(jīng)營(yíng)方式出現(xiàn)巨變，勢(shì)必會(huì)有強(qiáng)烈反應(yīng)。許多專業(yè)人員不是著手應(yīng)對(duì)將數(shù)據(jù)存儲(chǔ)在網(wǎng)上所固有的實(shí)際威脅，而是花太多的時(shí)間擔(dān)心無關(guān)緊要的事情;這樣一來，真正的威脅來臨時(shí)，我們卻毫無準(zhǔn)備。不妨看一下云方面的一些最常見恐懼，以及它們?yōu)楹尾蝗缒阆胂蟮哪敲磭?yán)重。

失去控制權(quán)――向云端遷移時(shí)，習(xí)慣于實(shí)際操縱服務(wù)器的IT安全專家們常常最焦慮不安。這些專家常常擔(dān)心：除非自己與存儲(chǔ)有數(shù)據(jù)的硬件待在同一幢大樓，否則自己就無力合理地應(yīng)對(duì)緊急事件。實(shí)際上而是要考慮這個(gè)事實(shí)：讓你的IT團(tuán)隊(duì)不用肩負(fù)處理硬件問題的職責(zé)，讓他們得以更合理地分配資源。他們還會(huì)有更多的時(shí)間專注于威脅補(bǔ)救、日志分析和合規(guī)管理上。

正如CloudPassage公司產(chǎn)品副總裁Rand Wacker撰文的那樣，隨著我們遷移到云端，“操作思維和風(fēng)險(xiǎn)管理會(huì)由原來的認(rèn)為‘我們必須控制一切’，變成買家和服務(wù)提供商分擔(dān)責(zé)任這種模式”。只要你與值得信賴的MSP合作，就沒有理由為無法實(shí)際訪問服務(wù)器而焦慮不安。

失去所有權(quán)――同樣，IT專業(yè)人員當(dāng)中確實(shí)存在這種擔(dān)心：異地保管的數(shù)據(jù)不像存儲(chǔ)在內(nèi)部環(huán)境的數(shù)據(jù)那樣完全屬于企業(yè)。許多人擔(dān)心，遷移到云后對(duì)遵守《健康保險(xiǎn)可攜性及責(zé)任性法案》(HIPAA)、《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》(PCI-DSS)及其他標(biāo)準(zhǔn)的工作會(huì)帶來什么影響或后果。然后，要消除這種恐懼，只要明智地選擇合作伙伴。正如你在選擇某個(gè)在企業(yè)內(nèi)部工作的合同工所做的那樣，也要確保服務(wù)協(xié)議保證你對(duì)自己的數(shù)據(jù)擁有全面所有權(quán);如果有必要，確保服務(wù)協(xié)議讓你很容易訪問這些數(shù)據(jù)。

缺乏成熟度――有些人一直認(rèn)為，云標(biāo)準(zhǔn)還沒有成熟到足以滿足企業(yè)層面使用SaaS帶來的更高的安全要求這一地步。最終，缺少成熟標(biāo)準(zhǔn)不太可能給云用戶帶來安全方面的影響。畢竟，更多的數(shù)據(jù)泄密事件是由具體問題引起的，只要企業(yè)組織層面調(diào)整問題管理、故障隔離及采用其他做法，很容易解決這些問題。

如果我們想到這每一個(gè)反對(duì)意見是認(rèn)知上的問題，而不是云的實(shí)際風(fēng)險(xiǎn)，就很容易理解谷歌公司企業(yè)安全主管Eran Feigenbaum 所說的這番話了：“云計(jì)算即便不比大多數(shù)企業(yè)如今在傳統(tǒng)環(huán)境下采取的做法來得安全，至少一樣安全。”

云安全Vs傳統(tǒng)安全

Feigenbaum接著提出了幾個(gè)要點(diǎn)，闡述遷移到云端帶來的好處。如果你正在決定如何存儲(chǔ)數(shù)據(jù)，別忘了這兩點(diǎn)：

重復(fù)數(shù)據(jù)刪除和本地存儲(chǔ)是傳統(tǒng)IT基礎(chǔ)設(shè)施中風(fēng)險(xiǎn)最高的兩個(gè)部分。據(jù)Feigenbaum聲稱，66%的USB存儲(chǔ)棒丟失;這些丟失的USB存儲(chǔ)棒中又有約60%含有商業(yè)數(shù)據(jù)。而在云端，這些風(fēng)險(xiǎn)幾乎就不存在。

云計(jì)算還消除了采用最新安全補(bǔ)丁方面的延遲。雖然許多企業(yè)組織試圖花25天至60天的時(shí)間來組織管理安全補(bǔ)丁，可是許多CIO透露，這個(gè)過程實(shí)際上可能長(zhǎng)達(dá)6個(gè)月。然而在云端，一旦有了最新補(bǔ)丁，就可以全面部署補(bǔ)丁。

云安全解決方案還能靈活擴(kuò)展，伴隨貴公司一同成長(zhǎng)。如果傳統(tǒng)網(wǎng)絡(luò)要擴(kuò)展，就需要在新的軟件硬件方面做大量投入，而桌面即服務(wù)模式讓你很容易為團(tuán)隊(duì)添加新成員，設(shè)置合理的全局訪問控制措施，并在貴公司不斷壯大時(shí)，確保敏感數(shù)據(jù)得到了保護(hù)。

#p#

如何優(yōu)先對(duì)待云安全合規(guī)?

很顯然，遷移到云端在安全方面有諸多優(yōu)點(diǎn)。遷移到云端時(shí)，盡量不要拘泥于傳統(tǒng)IT的安全視角。畢竟，新的工作方法需要新的安全方法。下面是針對(duì)云調(diào)整安全做法和優(yōu)先事項(xiàng)時(shí)需要考慮的三個(gè)方面：

及早確定問題。云安全類似解決復(fù)雜問題;最好的辦法就是，清楚地確定自己的目標(biāo)。詳細(xì)列出你在安全和合規(guī)方面的優(yōu)先事項(xiàng)和面臨的挑戰(zhàn)，在此基礎(chǔ)上開展下一步。

訪問控制必不可少。大家在談?wù)撛瓢踩珕栴}時(shí)經(jīng)常忘了一點(diǎn)：所存儲(chǔ)數(shù)據(jù)的位置遠(yuǎn)不如誰(shuí)訪問數(shù)據(jù)來得重要。制定授權(quán)和訪問控制措施(包括實(shí)施最低權(quán)限原則)，才是管理風(fēng)險(xiǎn)、限制泄密事件幾率的最好方法。

重視安全漏洞測(cè)試。安全漏洞測(cè)試是云安全管理方面的一個(gè)重要輔助手段。你的系統(tǒng)接受的測(cè)試越嚴(yán)格，你就越有能力設(shè)計(jì)和實(shí)施積極主動(dòng)的安全控制措施。

利用這些想法作為起點(diǎn)，你就能更有效地管理風(fēng)險(xiǎn)，并且能夠享受云帶來的好處，而不危及你的寶貴資產(chǎn)。

“臭名昭著的九大威脅”

綜合起來，上述概念應(yīng)該會(huì)指導(dǎo)你如何在云端保持安全。有鑒于此，云用戶面臨哪些具體的挑戰(zhàn)呢?又該如何克服這些挑戰(zhàn)?早在2013年，云安全聯(lián)盟(Cloud Security Alliance)就發(fā)布了《臭名昭著的九大威脅》(The Notorious Nine)，這篇文章詳述了基于云的系統(tǒng)必須做好防范工作的幾大威脅。這些威脅包括：

• 數(shù)據(jù)泄密，這通常歸咎于應(yīng)用程序的設(shè)計(jì)存在的缺陷或其他安全漏洞。
• 數(shù)據(jù)丟失，歸咎于惡意攻擊、無意刪除或數(shù)據(jù)中心出現(xiàn)物理問題。
• 帳戶劫持，包括使用網(wǎng)絡(luò)釣魚、欺詐或社會(huì)工程學(xué)伎倆，獲得用戶的私密登錄信息。
• 不安全的接口，那是由于云服務(wù)依賴API來提供驗(yàn)證、訪問控制、加密及其他關(guān)鍵功能。這些接口中的安全漏洞會(huì)加大安全泄密事件的風(fēng)險(xiǎn)。
• 拒絕服務(wù)攻擊，居心叵測(cè)的人阻止用戶訪問某個(gè)被其盯上的應(yīng)用程序或數(shù)據(jù)庫(kù)。
• 惡意內(nèi)部人員，比如員工或合同工，他們利用自身?xiàng)l件訪問存儲(chǔ)在云端的私密信息。
• 濫用服務(wù)，這包括黑客使用云的無限資源來破解加密密鑰，發(fā)動(dòng)分布式拒絕服務(wù)(DDoS)攻擊，或者執(zhí)行借助有限硬件無法實(shí)現(xiàn)的其他活動(dòng)。
• 摸底工作不夠到位，這是云網(wǎng)絡(luò)受到的最常被忽視的威脅之一。沒有充分預(yù)料到在云端工作或者倉(cāng)促開始遷移所帶來的風(fēng)險(xiǎn)，會(huì)讓企業(yè)組織面臨相當(dāng)大的風(fēng)險(xiǎn)。
• 共同的安全漏洞，包括在多租戶環(huán)境下的不同用戶訪問的平臺(tái)或應(yīng)用程序。在這種罕見的情況下，即便單單一個(gè)安全漏洞也會(huì)引起嚴(yán)重的后果。

很有意思的是，對(duì)遷移到云猶豫不決的人擔(dān)心的主要問題卻并不在這九大威脅之列。對(duì)你的服務(wù)器擁有物理訪問權(quán)不太可能阻止得了任何上述威脅;不管采用的標(biāo)準(zhǔn)有多成熟，災(zāi)難性丟失或數(shù)據(jù)泄密的幾率同樣很大。

如果我們改變方法、體現(xiàn)云計(jì)算的現(xiàn)狀，并且著眼于上述威脅重視安全，就可能享受遷移到SaaS平臺(tái)帶來的種種好處，又沒有風(fēng)險(xiǎn)。

安全即服務(wù)Vs內(nèi)部部署安全

如果你能夠成功地管理將數(shù)據(jù)和應(yīng)用程序遷移到云帶來的風(fēng)險(xiǎn)，下一個(gè)合理的步驟自然是將你的安全系統(tǒng)同樣遷移到云端。反對(duì)安全即服務(wù)的一些常見理由包括：將日志數(shù)據(jù)遷入和遷出云服務(wù)提供商面臨很長(zhǎng)的延遲時(shí)間，這么做的話勢(shì)必讓機(jī)密數(shù)據(jù)離開封閉網(wǎng)絡(luò)。雖然這些因素對(duì)一些企業(yè)組織來說也許是關(guān)鍵的阻礙因素，但還是有好多令人信服的理由，表明值得考慮丟棄內(nèi)部部署型安全基礎(chǔ)設(shè)施，改用云解決方案。

內(nèi)部部署型安全系統(tǒng)需要專門的工作人員及其他IT資源，而這些IT資源分配到別處可能更合理。將你的安全系統(tǒng)遷移到云端可以騰出資本，并且有需要時(shí)，很容易適應(yīng)貴公司不斷發(fā)展的形勢(shì)。最重要的是，對(duì)基于云的數(shù)據(jù)和應(yīng)用程序而言，基于云的安全是最佳選擇。反對(duì)云安全的許多理由與反對(duì)云存儲(chǔ)的那些理由很相似。然而，隨著我們處理信息安全的方式日臻完善，完全有理由認(rèn)為，安全解決方案會(huì)隨之得到改善。

云端的網(wǎng)絡(luò)安全合規(guī)

凡是云計(jì)算安全問題方面的討論，免不了提到如何應(yīng)對(duì)遵守《健康保險(xiǎn)可攜性及責(zé)任性法案》(HIPAA)、《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》(PCI)及其他監(jiān)管標(biāo)準(zhǔn)所帶來的種種挑戰(zhàn)。遵守HIPAA在云端來得更容易還是更困難?有沒有可能既輕松又經(jīng)濟(jì)地在云端實(shí)現(xiàn)PCI合規(guī)?從某種程度上來說，這些問題的答案集中反映了云安全Vs傳統(tǒng)安全這個(gè)更龐大的討論。云端合規(guī)需要考慮有別于內(nèi)部部署型系統(tǒng)的一系列不同因素。它未必來得難度更大或成本更高，但是需要密切合作以及戰(zhàn)略性配置資源。

本文來源：云頭條