云安全:您想要3星还是5星服务?

标签:专栏安全云计算云安全

访客:20749  发表于:2012-04-17 17:22:58

不管您看到的数字是来自世界经济论坛的还是IDC的,安全都是人们无法完全接受共有云的最首要的考虑因素。实际上我不同意这个说法,因为真正的问题不是安全本身,而是我们在执行安全措施时缺乏透明度。从根本上讲这个观点包括以下三点要素:

共有云供应商实施的安全流程、程序和工具是什么,以及它们与客户现有的部署情况相比如何?换句话说,如果客户选择使用共有云服务,他仍然是符合规定的吗,而且他在自己的业务运营和云服务之间能够实现真正的端到端安全吗?

服务的提交都有谁在参与?当然,您在IaaS,PaaS和SaaS的金字塔走的越高,由一组公司提供服务的机会就越多,每家公司负责一部分工作。我管这个叫“云供应链”。当亚马逊部分中断供应时,真的很有意思看到服务停止运营了。

客户订购的到底是什么服务?是的,有需要批准的条款和条件,但坦白说,大多数人根本不看。最重要的是,他们经常用法律上的语言来书写这些条款和条件,这让我们大多数人很难把握那些细节和细微差别之处,比如供应商的职责何时停止,以及什么是该留给我们管理的。

一体无法万用

正如上面所说的,如何创建一个系统,让我们可以用简单的语言从安全的角度描述给客户他们可以得到什么?您所执行的服务可能不需要同样的安全级别来实现这个系统,我们也许需要一个多级别的方法。当然,如果您要表演一个数字化车祸,或者一个数字模拟的飞行,跟维护客户的姓名和信用卡号来比,您不需要同样的安全级别,

当我频繁的旅行时,我想知道我要住在什么样的旅馆里。我想要一定的舒适度,尤其是短期出差时。我想要一些健身房、网络链接之类的设备。另一方面,当我在假期进行背包游时,我的需求就不同了。选择旅馆时我会看星级系统,根据我的需要可能会选择2 - 4星的旅馆,并且很少失望。我不需要很具体的知道这些分级是如何建立的,我只是大致知道舒适度与星级是相对应的。这很简单、迅速和直接。

行业分级

我们可以为我们的云服务建立类似的分级吗?并且可以让一个独立的实体来为云服务评级?我相信我们应该这样做。这将使用户很明确他得到的安全和服务是什么类型的,并且无需对他透露具体细节是如何实现的。很多共有云供应商表明无法透露他们的安全措施,这将会让黑客知道如何攻击他们。使用星级(或云)系统可以在复杂的、描述详细的流程、程序和技术以及需要简单描述我们接收到了什么的需求之间建立联系。

我建议由服务,而不是服务供应商来实现这个分级,并且这当然是有原因的,请记住云供应链。另一方面,服务只有在其“最薄弱的环节”才是安全的。云安全联盟在云计算顶级威胁的报告中指出,不安全的接口和API是风险的最核心领域之一。云供应链中的供应商需要共同努力来确保适当的安全水平集成点。

上周我参加的一个会议上,针对这个分级制是自愿的还是强制性的有一个很大的辩论。坦白说,我认为这个辩论是错误的。您会愿意去一个没有任何星级的旅馆吗?不,因为您想知道自己会得到什么。换句话说,我相信如果这个系统建立起来,哪怕是在自愿的基础上,事实是一些供应商会提供一个专业术语表,迫使其他行业跟进。市场的力量是这样的。

真正的问题是谁来评估某个特定服务可以得到的星级。我们需要一个绝对独立,可以被用户信任的并且有深度技术知识的部门来评估服务的真正安全级别。这个部门应该是一个现有的标准机关吗,还是一个审计师事务所,或是一个多国的组织,抑或一个由行业建立的财团?再一次要说,这个实体如何存在并不重要,真正重要的是他可以实现什么。并且他需要很快得到用户的信任,否则努力就白费了。

您同意还是不同意我建议的方法?请让我知道。如果我们希望共有云真正起航,这将是一个很重的题目并且我们该把它作为一个行业来看。

原文作者:Christian Verstraete

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");