来自国外媒体消息,Thoran Rodrigues提出了关于云安全的讨论并推翻了共同合作实现全面安全策略的三个必要元素。
云计算的安全问题是公司也是用户最关心的话题之一。云安全的问题要比简单地“云计算安全与否”要复杂得多。一个云计算应用程序可以托管在一个数据被适当加密的安全环境里,但是攻击者仍能通过社会工程访问到您的信息。
另一方面,你可以拥有世界上最安全的密码保护方式,但是一旦托管环境被攻击,你仍会丢失数据。任何试图解决今天存在的云安全问题的合适方式都必须涉及安全问题的三个方面:技术、过程和责任。
另一个需要考虑的的重要因素则是这三者的细节和关键点互相紧密联系,要进行更改取决于我们所处的云栈位置。无论是对云平台的安全水平要求上,还是在云基础结构的构建上,创建安全的云软件要求是十分不同的。
技术第一步就是要使用适当的技术来保障应用和数据的安全。“适当的技术”在很大程度上取决于我们谈论的云层种类。对于云应用而言,安全可以很简单,只需部署合适的安全证书并进行加密。
所有敏感信息需要被正确地加密,这样可以使得当攻击者进入你的系统时,他所盗取的信息仍需解密才能使用。但仅仅有加密密码是远远不够的:如你所知,人们常常使用生日日期作为密码,同样也对这样的密码加密。技术应该尽可能地保护用户免受其害。
这个空间里有一个十分有趣的解决办法就是Porticor的虚拟专用数据。它的实质是一个加密层,这个加密层被透明地安置在任何一个个云数据存储区的顶部并执行动态数据的加密解密,如:获取访问数据。我建议,如果你对云计算应用程序有兴趣,不妨看看他们的解决方案。
在云栈的较低层,云安全问题与云计算时代来临之前一模一样。云平台需要的安全只是操作系统的安全——避免切入其他执行会话或窃取数据的恶意代码等等。在基础结构层中,安全不仅需要维护虚拟化的环境也需要保障人身安全。幸运的是,大多数顶级的云端基础架构供应商已经具备了很强的安全意识,正在减少来自这一方面的危险。
程序如果一个攻击者打电话给你的接待员,并利用她的网络管理员密码在你的公司网络上安装了恶意代码,那么所有的技术都不能拯救你了。在使用云技术的案例中,这种可能的确真实存在于私人网络中,而这样的情况则不会发生在一家大型的企业里,发生在数量惊人的中小型企业里倒是有可能。
举个例子,如果一个公司正在使用来自Rackspace的Windows云服务器,它会采用一个相当复杂的密码和已经激活的自动更新的防火墙等等。——很多时候,人们在设定密码时为了方便记忆,常常会采用诸如“password”,“Pass1234”之类的密码。(因为一个安全密码必须要包含大写字母和数字)——并会创建一个不受保护的,链接到服务器的FTP通道,“仅仅是为了复制少量信息”。它的初衷是成为一个安全服务器,但现在却变成了岌岌可危的安全漏洞。拥有合适的安全工具是远远不够的。公司需要建立起一个能将这些工具付诸实践的过程。
公司还低估了将正确的信息安全政策通知给全体员工的重要性。当公司里的每个人都拥有安全意识的时候,真正的安全才能更快到来。安全的进程并不始于技术,而在于人,适当的、持续的交流是根本。
责任到目前为止,我们谈论到的这两个方面都十分常规。然而,云应用需要有比传统的内部应用程序更强的安全意识,这项技术的发展需要相当标准的附加安全。对于云安全服务器,同样如此。论及责任,云安全和传统安全有着巨大的差别。当一个公司发展传统的软件时,IT知道它的责任。
数据中心运作和控制着软件,然而任何可能都会发生——数据被盗,服务器被攻击等等。这就是他们的责任。自从IT对环境有了完全的控制权,他们就自然而然地担负起了这样的责任。
当这一切放在云计算上,IT部门就会失去对环境的控制。这很好理解。接着,他们不愿意为即将发生的问题负责。有明确的责任分工可以有助于:托管供应商需要确保安全的基础平台(虚拟化层、人身安全等等)。其余部分的责任将落在客户身上。但是这还不够。供应商需要提供风险保障,了解内部IT部门的来历并改善关系,减轻他们的焦虑。
综述这些方面的因素都需要放在一起考虑,否则我们就得承担创建一个比现在更复杂的环境的风险。某种程度上说,通过提供福利或者让常规的安全管理自动化,云有能力让一切变得更安全。
另一方面,数据集中在少有的几个服务提供商手里能增加项目的吸引力,增加这些公司的责任感。
不是仅关注技术,程序或是合同某一项,就可以消除云的安全隐患,每个关心云计算的人都应该看到整个安全方案而不是某个环节。
未经允许不得转载:DOIT » 云安全:技术、程序、责任
