【51CTO.com快譯】云安全一向是阻礙公司選用公共云的原因之一：公共云可能會(huì)危及數(shù)據(jù)安全。雖然這種擔(dān)心不無(wú)道理，但事實(shí)上，據(jù)IDG的一項(xiàng)調(diào)查顯示，三分之二以上的IT團(tuán)隊(duì)已將應(yīng)用程序和存儲(chǔ)部署到了公共云。

很顯然，許多安全方面的常見(jiàn)問(wèn)題已得到了令人滿意的解決。但是擔(dān)憂依然存在。那么，你對(duì)公共云安全抱有多大的信心?你要承擔(dān)多大的安全責(zé)任呢?

[[180594]]

1. 未來(lái)會(huì)有更多的云

首先要認(rèn)識(shí)到這一點(diǎn)，將來(lái)會(huì)有更多的公共云，而不是更少。試圖阻止使用公共云計(jì)算服務(wù)的種種努力，只會(huì)失敗。馬克·布盧姆(Mark Bloom)是Sumo Logic公司的產(chǎn)品營(yíng)銷和安全主管，他認(rèn)為出現(xiàn)更多的公共云是大勢(shì)所趨。

他說(shuō)：“十年前，由于安全和法規(guī)方面的顧慮，沒(méi)有人對(duì)關(guān)鍵任務(wù)型工作負(fù)載進(jìn)行虛擬化處理，但***我們還是對(duì)這類工作負(fù)載進(jìn)行了虛擬化處理。這一幕同樣會(huì)出現(xiàn)在云領(lǐng)域。”

在當(dāng)下，速度和上市時(shí)間至關(guān)重要。因此，企業(yè)組織期望更靈活、更敏捷，并且牢牢抓住商業(yè)機(jī)會(huì)。從這個(gè)角度來(lái)看，云顯得很吸引人。很少有企業(yè)會(huì)抵擋得住這種誘惑。

2.公共云的安全系數(shù)很高

大概十年前，公共云的安全性還很差。

但今非昔比。實(shí)際上，云和內(nèi)部數(shù)據(jù)中心哪個(gè)更安全還有商榷的余地。

DDN公司的營(yíng)銷運(yùn)營(yíng)高級(jí)主管邁克爾·金(Michael King)說(shuō)：“負(fù)責(zé)本地安全的人未必是個(gè)專家。如果你的數(shù)據(jù)在防火墻后面，你覺(jué)得好像數(shù)據(jù)比較安全。但實(shí)際上，連接到互聯(lián)網(wǎng)后，沒(méi)有哪一種場(chǎng)景是完全安全的。公共云公司的專家手頭往往擁有比本地人員更多的資源，確保數(shù)據(jù)安全。”

3. 明白職責(zé)分工

云供應(yīng)商不遺余力地宣傳它們?yōu)楸Ｗo(hù)客戶信息而采用的各種出色的安全措施。包括：加密、防火墻、反惡意軟件、驗(yàn)證、公共密鑰等一大批措施。但是這并不意味著他們可以控制一切。

如果信任某家云供應(yīng)商，把云安全的方方面面都交給對(duì)方去打理，可能會(huì)很失望。比如說(shuō)，一旦數(shù)據(jù)在供應(yīng)商的基礎(chǔ)設(shè)施里妥善地保管起來(lái)，數(shù)據(jù)可能會(huì)受到保護(hù)和加密。但數(shù)據(jù)在傳輸途中可能會(huì)完全暴露在危險(xiǎn)面前。

深入了解供應(yīng)商的安全模式至關(guān)重要。布盧姆表示，以AWS為例，AWS負(fù)責(zé)基礎(chǔ)設(shè)施，客戶則負(fù)責(zé)在該基礎(chǔ)設(shè)施上所運(yùn)行的應(yīng)用程序、工作負(fù)載和數(shù)據(jù)的安全。

正如IDC公司的分析師迪帕·莫漢(Deepak Mohan)所說(shuō)，在安全共擔(dān)模式下，亞馬遜處理云的總體安全，客戶則負(fù)責(zé)其在云端應(yīng)用程序和存儲(chǔ)的安全。他補(bǔ)充說(shuō)，話雖如此，AWS云在設(shè)計(jì)時(shí)將安全作為重中之重。例如，它通過(guò)了一系列的安全認(rèn)證，比如ISO 27001和美國(guó)國(guó)防部的云計(jì)算安全要求指南(SRG)。

AWS為需要幫助的客戶提供兩級(jí)指導(dǎo)?；炯?jí)別指導(dǎo)通過(guò)AWS支持部門來(lái)提供，它為客戶提供工具和資源，以便查漏補(bǔ)缺、滿足業(yè)務(wù)要求。比較高級(jí)的支持是通過(guò)AWS專業(yè)服務(wù)團(tuán)隊(duì)和AWS合作網(wǎng)絡(luò)來(lái)提供，為要求更復(fù)雜、更專業(yè)的客戶提供服務(wù)。

莫漢說(shuō)：“客戶需要有規(guī)劃的，并融入到應(yīng)用程序?qū)用娴陌踩?rdquo;

4. 重視附加服務(wù)

許多廠商將額外的特性或工具捎帶擱在存儲(chǔ)服務(wù)上。有很多還沒(méi)有許多通過(guò)認(rèn)證。

布盧姆說(shuō)：“確保你使用的附加服務(wù)通過(guò)自己的安全認(rèn)證，以保護(hù)靜態(tài)數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)。這可以讓人們更放心地通過(guò)基于SaaS的服務(wù)來(lái)發(fā)送數(shù)據(jù)。”

5. 深入了解云運(yùn)營(yíng)

整理一年來(lái)由Sumo Logic的在AWS上運(yùn)行應(yīng)用程序和基礎(chǔ)設(shè)施的1000多個(gè)客戶生成的數(shù)據(jù)后發(fā)現(xiàn)，使用公共云最受重視的事項(xiàng)是安全。但是目前，這些客戶并沒(méi)有使用可以幫助他們讓應(yīng)用程序和存儲(chǔ)在公共云更安全的服務(wù)。

比如說(shuō)，只有50%的客戶把AWS CloudTrail用于安全審查。

布盧姆說(shuō)：“這項(xiàng)服務(wù)可以查看用戶在AWS上的所有操作。無(wú)法深入了解云運(yùn)營(yíng)和控制，這顯然是***的安全問(wèn)題。”

6. 開(kāi)啟日志功能

布盧姆還勸告用戶開(kāi)啟AWS里面的日志功能，激活亞馬遜CloudWatch，將你所有系統(tǒng)的活動(dòng)記入日志。

7. 消除法規(guī)方面的擔(dān)憂

某些行業(yè)需要特定的法規(guī)和認(rèn)證，比如與醫(yī)療保健有關(guān)的應(yīng)用程序要滿足《健康保險(xiǎn)可攜性及責(zé)任性法案》(HIPAA)，金融交易處理要滿足支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)。

莫漢說(shuō)：“設(shè)計(jì)和認(rèn)證一套符合規(guī)定的應(yīng)用堆棧是個(gè)很繁瑣的過(guò)程。滲透測(cè)試和安排獨(dú)立認(rèn)證審查之類的活動(dòng)需要時(shí)間，導(dǎo)致沒(méi)有更多時(shí)間來(lái)關(guān)注應(yīng)用程序。”

他表示，亞馬遜設(shè)計(jì)的云基礎(chǔ)設(shè)施通過(guò)了認(rèn)證，符合一般的法規(guī)和審計(jì)標(biāo)準(zhǔn)，因而用戶可以更容易、更快捷地在AWS上構(gòu)建、認(rèn)證和運(yùn)行自己的應(yīng)用程序。支持的認(rèn)證和審查標(biāo)準(zhǔn)包括PCI DSS Level 1、SOC報(bào)告和ISO 9001。

8. 留意地域問(wèn)題

地區(qū)和國(guó)別的差異使安全變得更復(fù)雜。

Comtrade Software公司的副總裁戈蘭·加雷夫斯基(Goran Garevski)說(shuō)：“既要明白你能不能傳輸數(shù)據(jù)，還要明白你的數(shù)據(jù)位于哪個(gè)地區(qū)或受制于哪部法律。一些國(guó)家和垂直行業(yè)領(lǐng)域有具體的信息管理規(guī)定。”

將數(shù)據(jù)傳輸?shù)皆贫?，并不意味著?shù)據(jù)始終要待在云端。IDG的調(diào)查發(fā)現(xiàn)，使用公共云存儲(chǔ)的客戶中，有近40%的客戶把一些工作負(fù)載拿回到本地。原因何在?摒棄公共云部署的主要原因是安全問(wèn)題(55%)和成本問(wèn)題(52%)，其次是可管理性、性能、靈活性等。

如果遵照以上專家給予的指導(dǎo)，那么，可能沒(méi)必要把太多的工作負(fù)載放回到企業(yè)內(nèi)部。

原文標(biāo)題：10 Tips for Better Public Cloud Storage Security，作者：Drew Robb

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】