當然,云計算現(xiàn)在已經(jīng)歷了過度炒作期,并且成為市場主流。但這并不意味著云計算的發(fā)展已經(jīng)成熟,尤其是當涉及到公共云安全性時。
現(xiàn)在是重新澄清關于公共云安全的一些重大誤解的時候了,其中一些涉及私有云或混合云環(huán)境,更不用說IT安全。
一些云計算安全專家將這些誤區(qū)和神話改寫為所對應的現(xiàn)實。以下是他們的建議:
誤區(qū)1:公共云本質上是不安全的
這個是人們需要糾正的一個想法,這是云計算發(fā)展歷史所經(jīng)歷的一個階段。公共云與傳統(tǒng)數(shù)據(jù)中心有不同的考慮因素嗎?是的。這是否意味著公共云自動降低安全性?并不是。
瞻博網(wǎng)絡全球安全策略總監(jiān)Laurence Pitt表示:“當公共云是新生事物的時候,有人擔心這項技術尚未得到證實的安全性,但事實已經(jīng)不是如此。云計算技術始于20世紀90年代,這意味著云計算提供商有著多年的數(shù)據(jù)和應用訪問經(jīng)驗,可以確保權利管理、強有力的治理和系統(tǒng)監(jiān)控。”
當然,并不是所有的提供商都是一樣的。Pitt指出公共云本身就是一個巨大的安全威脅。
現(xiàn)實1:公共云安全通常比內部部署數(shù)據(jù)中心的安全性更好
事實上,對于一些企業(yè)來說,利用一些云計算提供商的規(guī)模和實力可能實際上是更加高效的整體安全戰(zhàn)略的一部分,特別是如果企業(yè)受到預算的限制或者只是像很多IT領導者一樣,很難找到具備相應用安全技能的工作人員。
正如Red Hat公司技術布道者Gordon Haff最近指出的那樣,企業(yè)可能過于擔心公共云提供商的安全流程。“公共云的本質是云計算提供商使用專業(yè)人員、自動化流程和紀律來處理安全問題。”他表示。
誤區(qū)2:不了解“公共云”的含義
Sumo Logic公司的首席安全官George Gerchow表示,關于公共云的誤解的這個話題太廣泛了。“這個問題需要進一步細分,以區(qū)分單一租戶與多租戶,還是公共云托管服務。”Gerchow說。
事實上,人們傾向于整合大量的東西,例如從軟件到基礎設施到開發(fā)平臺,基本上是人們都可以附加的無處不在的“as-a-Service”(即服務),而這些都包含在一個巨大的“公共云”中。
對于一家公司而言,“公共云”可能意味著跨多個供應商的多個基礎設施與私有云和/或本地部署基礎設施相集成的環(huán)境,并作為混合云組合的一部分。而對于另一家公司而言,“公共云”可能只是意味著他們使用Google Apps或Office 365。
這導致了公共云安全的泛化,而這往往是偏離目標的。
例如,Gerchow在深入研究更加具體的公共云類別時看到了人們一個重要的誤解。他說,“單租戶云部署比多租戶更安全是一個巨大的誤解。”
現(xiàn)實2:公共云類型及其安全考慮因素可能會有很大差異
Gerchow的觀點非常重要:將公共云安全視為一個同質化問題是錯誤的。從安全的角度來看,將所有公共云環(huán)境視為同一個環(huán)境也是錯誤的。作為公共云戰(zhàn)略的一部分,企業(yè)必須區(qū)分特定類型的云環(huán)境,以及在那里處理和存儲的數(shù)據(jù)等因素。而不同的組織對安全性、合規(guī)性、治理、SLA等方面有不同的需求和關注。因此,企業(yè)需要更加了解這些需求。
此外,如果將“公共云”想象成一些即將被黑客攻破的大型環(huán)境,那么將錯失云計算所帶來的機會。而這是一個誤導。
“公共云提供商花費過多的資源來確保安全性最初架構的核心部分,并保持其網(wǎng)絡和服務的穩(wěn)固性。”CYBRIC 公司首席技術官兼聯(lián)合創(chuàng)始人Mike Kail說。
同樣,IT領導者必須了解他們正在使用的環(huán)境。企業(yè)應該深入挖掘自己的公共云提供商的服務,就像建設和運營自已的數(shù)據(jù)中心一樣努力(而在數(shù)據(jù)中心,企業(yè)如果沒有特別關注的問題,那么這可能意味著其整個安全配置文件需要審計)。
正如SAS公司的首席信息安全官Brian Wilson所說的那樣,企業(yè)在云計算安全性(尤其是公共云)方面,需要深入了解其云計算提供商的能力以及這些能力如何滿足自己的特定需求(可能需要多云策略才能滿足企業(yè)的各種需求)。
誤區(qū)3:云計算安全太復雜,無法維護
這是人們一個長期的誤解:云計算安全對大多數(shù)組織來說太復雜,無法有效地掌握。
這個誤解表明,企業(yè)保護自己的本地網(wǎng)絡或數(shù)據(jù)中心的過程非常簡單。但是人們也要明白:如果這很容易,為什么每個人都會這樣做?如果IT安全非常容易,為什么它會遭受持續(xù)不斷的漏洞攻擊?
事實上,人們對于云計算這個想法接近于對內部部署基礎設施的看法,實際上可能會讓IT專業(yè)人員陷入不安全的安全感。
“僅僅因為工作人員能夠監(jiān)控服務器和存儲設備,并不意味著其安全控制措施已經(jīng)到位。”CYBRIC公司的Kail說,“大型違規(guī)行為發(fā)生的原因是缺乏適當?shù)谋Wo和安全流程,而不是因為所在的地點。”
現(xiàn)實3:混合云安全需要新的模型和流程
事實是,當企業(yè)將工作負載轉移到公共云時,其原有的做法仍在實施。如果企業(yè)想要保護混合云架構,或者尋求利用兩個或更多不同平臺的多云戰(zhàn)略,情況會變得更加真實。
“云計算安全是一種新的模式,是軟件定義的。不依賴于明確的網(wǎng)絡邊界。”Kail說,“其實施或維護并不復雜,而是需要一種新的思維方式和文化。”
Kail指出,這種文化是DevOps。希望在安全性方面提供更好的觀點的組織越來越多地接受DevSecOps,它確實使安全性與軟件的其他主要部分具有相同的地位。
誤區(qū)4:公共云安全是云計算供應商考慮的問題
公共云的一個共同賣點是,它為組織提供了無法實現(xiàn)的計算能力、可擴展性和靈活性(由于成本、技能集、基礎設施老化等原因)。
一家小型創(chuàng)業(yè)企業(yè)采用云計算服務,可以在一夜之間使用企業(yè)級質量的基礎設施。其理由很簡單:云計算提供商已經(jīng)為其提供了服務,初創(chuàng)公司不需要購買服務器,更不用說構建數(shù)據(jù)中心,除非這樣做是其更廣泛的IT戰(zhàn)略的一部分。
然而,這并不能免除其風險。因為在云平臺上運行和存儲的仍然是企業(yè)自己的數(shù)據(jù)和應用程序。企業(yè)當然應該選擇根據(jù)自己的需求在安全和相關領域大量投資的公共云供應商。只是不要認為自己的工作已經(jīng)完成。
現(xiàn)實4:公共云安全仍然最終取決于企業(yè)的CIO
Kail表示:“云計算提供商擁有適合客戶使用的軟件定義結構和API,云計算安全需要最終成為客戶的責任。”
這并不意味著企業(yè)的公共云供應商不能提供幫助。正如Kail指出的那樣,任何具有實力的云計算提供商都在不斷投資于其平臺的安全性,并且他們可以在全球范圍內進行投資。
企業(yè)可以將過去常常阻礙云采用的巨大安全恐懼轉化為重塑云計算安全的實踐機會。
Gerchow特別為公共云安全提出了一些建議。他指出,“公共云環(huán)境中的每件事都應該使用密鑰輪換措施進行加密。公共云也為使用單點登錄和多因素身份驗證打開了大門。”
SAS公司首席信息安全官Brian Wilson提出建議:如果企業(yè)優(yōu)先考慮這些技術和實踐,請確保其潛在提供商能夠支持這些要求。例如,不要采用表面上的“加密”,而是真正了解他們如何支持密鑰管理。
如果企業(yè)已經(jīng)認清了云計算安全現(xiàn)實,那么可以根據(jù)其需求與適合的云計算提供商開展合作。
版權聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。
京公網(wǎng)安備 11010502049343號