某些IT專業人士天性比較保守:由于對安全挑戰及其他問題心存疑慮,這影響了他們對所有新穎的創新技術抱有的熱情。這一方面純粹是我們這個行業的本質使然。畢竟,我們的工作是預料風險,想出具有創意的方法來緩解風險。然而,這種謹慎也導致了那種廣泛思考和總體結論,最終對于企業組織層面應對每個安全挑戰沒有多大幫助。比較云安全和傳統網絡安全時,普遍的懷疑來得尤為明顯。許多IT專業人士認為云安全風險比較大。
之所以會有這樣的認識,原因之一完全是由于媒體曝光。隨著更多數據遷移到網上,勢必會爆出更多的安全泄密事件。由于許多這些泄密事件備受矚目(牽涉來自幾大零售商的客戶個人數據),它完全證明了這個事實:諸多企業組織的工作負載在日益遷移到云端。
我們應該要問的問題不是云計算方面是否有更多的安全挑戰,而是我們如何改善自身的安全狀況,以便更有效地管理風險。最近塔吉特(Target)、聯合包裹服務(UPS)及其他商業組織爆出的泄密事件應該不僅僅是表明云不太安全的警示故事,還生動地表明了設計和實施很糟糕的系統如何將大數據置于險境。
2015年云計算安全現狀
要是對云計算的現狀缺少清晰的認識,就根本無法從大體上探討傳統網絡安全與互聯網安全的區別。據RightScale公司對IT專業人士開展的調查顯示,2015年云計算行情如下:
混合云系統仍是首選的方法,其中應用程序和數據存儲在托管服務提供商(MSP)與內部部署型系統之間共享。目前,82%的企業使用混合云模式。
88%的企業將數據存儲在公有云上,63%的企業使用私有云。然而,私有云網絡通常處理的工作負載比私有云網絡來得龐大繁重。13%的企業在公有云上運行的虛擬機數量超過1000個;22%的企業在私有云上運行的虛擬機數量超過1000個。
目前,68%的云用戶將不到20%的工作負載存儲于網上。一半以上的調查對象聲稱,另外20%的工作負載目前隨時可以遷移到云端,不過仍存儲在企業內部環境。
我們可以從上述統計數字中比較清楚地了解誰在使用云、他們在如何使用云。這應該決定我們對于安全的認識。一旦我們更清楚地了解了什么遭到威脅、誰是主要的利益相關者,就能對我們自身的IT基礎設施做出更明智的決策。
真實的恐懼與感覺的恐懼
從許多方面來看,云計算和軟件即服務是其自身成功的受害者。只要企業的業務經營方式出現巨變,勢必會有強烈反應。許多專業人員不是著手應對將數據存儲在網上所固有的實際威脅,而是花太多的時間擔心無關緊要的事情;這樣一來,真正的威脅來臨時,我們卻毫無準備。不妨看一下云方面的一些最常見恐懼,以及它們為何不如你想象的那么嚴重。
失去控制權――向云端遷移時,習慣于實際操縱服務器的IT安全專家們常常最焦慮不安。這些專家常常擔心:除非自己與存儲有數據的硬件待在同一幢大樓,否則自己就無力合理地應對緊急事件。實際上而是要考慮這個事實:讓你的IT團隊不用肩負處理硬件問題的職責,讓他們得以更合理地分配資源。他們還會有更多的時間專注于威脅補救、日志分析和合規管理上。
正如CloudPassage公司產品副總裁Rand Wacker撰文的那樣,隨著我們遷移到云端,“操作思維和風險管理會由原來的認為‘我們必須控制一切’,變成買家和服務提供商分擔責任這種模式”。只要你與值得信賴的MSP合作,就沒有理由為無法實際訪問服務器而焦慮不安。
失去所有權――同樣,IT專業人員當中確實存在這種擔心:異地保管的數據不像存儲在內部環境的數據那樣完全屬于企業。許多人擔心,遷移到云后對遵守《健康保險可攜性及責任性法案》(HIPAA)、《支付卡行業數據安全標準》(PCI-DSS)及其他標準的工作會帶來什么影響或后果。然后,要消除這種恐懼,只要明智地選擇合作伙伴。正如你在選擇某個在企業內部工作的合同工所做的那樣,也要確保服務協議保證你對自己的數據擁有全面所有權;如果有必要,確保服務協議讓你很容易訪問這些數據。
缺乏成熟度――有些人一直認為,云標準還沒有成熟到足以滿足企業層面使用SaaS帶來的更高的安全要求這一地步。最終,缺少成熟標準不太可能給云用戶帶來安全方面的影響。畢竟,更多的數據泄密事件是由具體問題引起的,只要企業組織層面調整問題管理、故障隔離及采用其他做法,很容易解決這些問題。
如果我們想到這每一個反對意見是認知上的問題,而不是云的實際風險,就很容易理解谷歌公司企業安全主管Eran Feigenbaum 所說的這番話了:“云計算即便不比大多數企業如今在傳統環境下采取的做法來得安全,至少一樣安全。”
云安全Vs傳統安全
Feigenbaum接著提出了幾個要點,闡述遷移到云端帶來的好處。如果你正在決定如何存儲數據,別忘了這兩點:
重復數據刪除和本地存儲是傳統IT基礎設施中風險最高的兩個部分。據Feigenbaum聲稱,66%的USB存儲棒丟失;這些丟失的USB存儲棒中又有約60%含有商業數據。而在云端,這些風險幾乎就不存在。
云計算還消除了采用最新安全補丁方面的延遲。雖然許多企業組織試圖花25天至60天的時間來組織管理安全補丁,可是許多CIO透露,這個過程實際上可能長達6個月。然而在云端,一旦有了最新補丁,就可以全面部署補丁。
云安全解決方案還能靈活擴展,伴隨貴公司一同成長。如果傳統網絡要擴展,就需要在新的軟件硬件方面做大量投入,而桌面即服務模式讓你很容易為團隊添加新成員,設置合理的全局訪問控制措施,并在貴公司不斷壯大時,確保敏感數據得到了保護。
如何優先對待云安全合規?
很顯然,遷移到云端在安全方面有諸多優點。遷移到云端時,盡量不要拘泥于傳統IT的安全視角。畢竟,新的工作方法需要新的安全方法。下面是針對云調整安全做法和優先事項時需要考慮的三個方面:
及早確定問題。云安全類似解決復雜問題;最好的辦法就是,清楚地確定自己的目標。詳細列出你在安全和合規方面的優先事項和面臨的挑戰,在此基礎上開展下一步。
訪問控制必不可少。大家在談論云安全問題時經常忘了一點:所存儲數據的位置遠不如誰訪問數據來得重要。制定授權和訪問控制措施(包括實施最低權限原則),才是管理風險、限制泄密事件幾率的最好方法。
重視安全漏洞測試。安全漏洞測試是云安全管理方面的一個重要輔助手段。你的系統接受的測試越嚴格,你就越有能力設計和實施積極主動的安全控制措施。
利用這些想法作為起點,你就能更有效地管理風險,并且能夠享受云帶來的好處,而不危及你的寶貴資產。
“臭名昭著的九大威脅”
綜合起來,上述概念應該會指導你如何在云端保持安全。有鑒于此,云用戶面臨哪些具體的挑戰呢?又該如何克服這些挑戰?早在2013年,云安全聯盟(Cloud Security Alliance)就發布了《臭名昭著的九大威脅》(The Notorious Nine),這篇文章詳述了基于云的系統必須做好防范工作的幾大威脅。這些威脅包括:
數據泄密,這通常歸咎于應用程序的設計存在的缺陷或其他安全漏洞。
數據丟失,歸咎于惡意攻擊、無意刪除或數據中心出現物理問題。
帳戶劫持,包括使用網絡釣魚、欺詐或社會工程學伎倆,獲得用戶的私密登錄信息。
不安全的接口,那是由于云服務依賴API來提供驗證、訪問控制、加密及其他關鍵功能。這些接口中的安全漏洞會加大安全泄密事件的風險。
拒絕服務攻擊,居心叵測的人阻止用戶訪問某個被其盯上的應用程序或數據庫。
惡意內部人員,比如員工或合同工,他們利用自身條件訪問存儲在云端的私密信息。
濫用服務,這包括黑客使用云的無限資源來破解加密密鑰,發動分布式拒絕服務(DDoS)攻擊,或者執行借助有限硬件無法實現的其他活動。
摸底工作不夠到位,這是云網絡受到的最常被忽視的威脅之一。沒有充分預料到在云端工作或者倉促開始遷移所帶來的風險,會讓企業組織面臨相當大的風險。
共同的安全漏洞,包括在多租戶環境下的不同用戶訪問的平臺或應用程序。在這種罕見的情況下,即便單單一個安全漏洞也會引起嚴重的后果。
很有意思的是,對遷移到云猶豫不決的人擔心的主要問題卻并不在這九大威脅之列。對你的服務器擁有物理訪問權不太可能阻止得了任何上述威脅;不管采用的標準有多成熟,災難性丟失或數據泄密的幾率同樣很大。
如果我們改變方法、體現云計算的現狀,并且著眼于上述威脅重視安全,就可能享受遷移到SaaS平臺帶來的種種好處,又沒有風險。
安全即服務Vs內部部署安全
如果你能夠成功地管理將數據和應用程序遷移到云帶來的風險,下一個合理的步驟自然是將你的安全系統同樣遷移到云端。反對安全即服務的一些常見理由包括:將日志數據遷入和遷出云服務提供商面臨很長的延遲時間,這么做的話勢必讓機密數據離開封閉網絡。雖然這些因素對一些企業組織來說也許是關鍵的阻礙因素,但還是有好多令人信服的理由,表明值得考慮丟棄內部部署型安全基礎設施,改用云解決方案。
內部部署型安全系統需要專門的工作人員及其他IT資源,而這些IT資源分配到別處可能更合理。將你的安全系統遷移到云端可以騰出資本,并且有需要時,很容易適應貴公司不斷發展的形勢。最重要的是,對基于云的數據和應用程序而言,基于云的安全是最佳選擇。反對云安全的許多理由與反對云存儲的那些理由很相似。然而,隨著我們處理信息安全的方式日臻完善,完全有理由認為,安全解決方案會隨之得到改善。
云端的網絡安全合規
凡是云計算安全問題方面的討論,免不了提到如何應對遵守《健康保險可攜性及責任性法案》(HIPAA)、《支付卡行業數據安全標準》(PCI)及其他監管標準所帶來的種種挑戰。遵守HIPAA在云端來得更容易還是更困難?有沒有可能既輕松又經濟地在云端實現PCI合規?從某種程度上來說,這些問題的答案集中反映了云安全Vs傳統安全這個更龐大的討論。云端合規需要考慮有別于內部部署型系統的一系列不同因素。它未必來得難度更大或成本更高,但是需要密切合作以及戰略性配置資源。
京公網安備 11010502049343號