供应商不可尽信 云安全应由专人负责

标签:CIO技术前沿云安全

访客:21433  发表于:2012-06-07 10:50:58

落实云保护机制、有针对性地部署防范体系是保障云安全的第一步。

养育小孩儿的家庭在购置新车时,绝不会从汽车制造商那里直接选择普通座椅:作为父母眼中的掌上明珠,我们往往会为孩子配备安全性更高、针对性更强的座椅产品。Gartner公司副总裁兼安全分析师John Pescatore指出,大家的处理云安全时也应当像照顾儿童一样小心翼翼:不能让用户仅仅依靠由云服务供应商提供的安全功能,高度敏感的业务数据需要更细心的呵护。

客户数据、业务类关键性应用程序以及生产级信息都属于需要严加看管的敏感信息,而且大多数情况下我们得为其配备独立的安全控制机制。“当大家向云平台迈出重要的一步之后,必须认清这样的现实:尽管在很多方面我们都应该信任云服务供应商,但关键性业务数据及规则性信息还是把握在自己手中才最放心,”Pescatore在本周由Gartner公司赞助举办的一次网络研讨会上提到。

安全仍然是打算部署云战略的众多企业最为关注的热点话题,不过Pescatore认为不该在盲目的恐慌中自乱阵脚。他指出,关键在于为云应用程序、数据或者工作负载配备适当的安全管理机制。这方面最典型的例子就是信用卡信息。支付卡行业(简称PCI)的规章明确要求,任何客户的食用卡数据都必须经过电子加密处理。某些云服务供应商未来将在云产品中加入加密服务,但目前已经有很多第三方应用程序能够为客户提供加密服务、分布式拒绝服务(简称DDoS)防护、访问控制机制等项目,并能根据使用者的云环境做出对应调整。这类功能大部分都支持云环境。

市场上功能各异的云安全产品同样百花齐放。像Zscaler、Websense以及思科旗下ScanSafe这样的服务供应商都推出了“网关”类产品,用于监管用户与云供应商之间的数据交互情况,并确保恶意数据及应用程序不会侵入用户的业务系统当中。Imperva、CloudFlare甚至是Akamai也专为云托管下的网站提供网络保护服务。

总体来说,Pescatore认为云安全行业还处于刚刚起步的阶段。大多数企业希望通过私有云及内部云的方式慢慢试水,而这种自有环境对于安全控制机制的发展是很有帮助的。“先为私有云设置一套良好的安全管理方案,接着过渡到混合云,最终让它作用于公共云,这是非常健康的发展途径,”他建议道。另外,制定一套管理策略,让自己的虚拟化环境免受外界攻击的侵扰同样非常重要,他补充称。“为业务系统引入可视化、变更控制及漏洞公告技术,能够有效解决大部分安全问题。”要实现这一目标,我们需要定期调整架构,对新账户、域及虚拟机进行正确配置。

在熟练掌握私有云的相关管理策略之后,企业往往会尝试将部分公共云服务引入当前架构。一般说来,大家会先让公共云接手一些非关键性任务,例如测试、开发以及冗余性能管理,并以此为起点逐渐向纯公共云过渡。因此,我们不需要把所有内容都纳入最高安全级别的处理范畴。“保护好自己手中的敏感信息,并尝试将少量关键数据交付云端,”他告诉我们,这种标记化方式能够及时反映当前的业务过渡状况。

Pescatore指出,云安全工作的重点在于关注如何部署云保护流程。为云安全工作创建一套指导政策,确保政策贯穿于云部署的全程并始终坚持执行。在他看来,漏洞的出现与政策未能落实到位或者未能坚持执行安全控制机制密不可分。“就目前来说,我们还没有看到哪些影响巨大的新型攻击会把云基础设施或者虚拟化层当作入侵目标,”他说。“当下的情况是,黑客们更偏向于找使用云服务的菜鸟企业下手。”

好消息是客户如今已经拥有多种多样的方案可以选择。对于较低级别的安全需求,单凭云服务供应商就能够满足。无论是在基础设施领域还是软件即服务层面,供应商能够都会提供一些自有安全功能。Amazon Web Service就完全遵循联邦信息安全管理法案的相关要求;另一家云服务供应商FireHost则恪守PCI规章。Pescatore认为,用户们在挑选供应商时,至少应该敲定那些通过了ISO 27001、SOC 2或者SOC 3认证的企业。除此之外,大家还应当尝试引入第三方安全产品,这对于保障敏感数据安全而言至关重要。

来源:CIOAge 文: 核子可乐译

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");