圍繞云計算的喧囂可能會讓你以為,明天就會發生大規模采納云計算的事情。然而,來自多方面的研究已經表明,云安全是阻礙大規模采納云計算的最大障礙。現實的情況是,云計算不過是沿著主機、客戶機/服務器和Web應用等技術演變路徑自然而然的又一階段而已,所以它也和其他所有階段一樣,都有它自己的安全問題。
當然,對安全的擔憂并不能阻止對這些技術的使用,也不能阻止對于能夠解決實際業務需求的云應用的采納。為了確保云是安全的,需要將其作為技術的下一步進化來對待,而不是將其視為一次需要徹底改變安全模式的革命。安全的策略和程序需要針對云模式進行調整,以便對云服務的采用做好準備。和其他的技術一樣,我們看 到一些早期用戶通過帶頭部署私有云或者在公用云中試驗一些非關鍵性的應用而逐步打消了人們對于云模式的不信任。
企業和組織會詢問很多問題,并權衡使用云計算解決方案的利與弊。安全性、可用性和可管理性都是需要考慮的因素。本文所說的是組織應該考慮的5個和安全相關的問題,回答這些問題有助于企業和組織能夠對是否需要部署云作出決定,而且,如果需要部署的話,究竟應該采用哪種云模式——私有云、公用云還是混合云?
1.云部署會如何改變企業的風險管理?
部署云計算——無論是私有云還是公用云——都意味著你不再能夠完全控制環境、數據或者人員。控制上的變化會帶來風險管理上的變化——在某些情況下風險會增加,而在另一些情況下風險可能會降低。某些云應用對你來說會完全透明,而且能提供高級報表功能,并且能夠與企業現有的系統進行集成。此類應用會降低企業的風險。而另外一些云應用或許無法改進其安全配置,無法與企業現有的安全措施相匹配,因此有可能使安全風險變大。總而言之,企業的數據及其敏感級別將會最終決定應采取哪類云模式才是合理的。
2.需要做些什么才能確保現有的安全策略能夠接納云模式?
向云模式的遷移是改進企業整體安全狀況和安全策略的一個機會。云應用的早期用戶將會發揮影響作用,幫助推動由云提供商實施的安全模式。企業不必為了云而去創 建新的安全策略,而是應該擴展現有的安全策略去容納新增加的云平臺。為了部署云而去修改安全策略,需要考慮的其實是一些和以前一樣的因素:數據存放在哪兒,如何保護數據,誰能夠訪問數據,遵從哪些監管條例,以及服務等級協議等等。
3.云部署會損害企業的法規遵從能力嗎?
云部署會改變企業的風險狀況,因而可能會影響到企業適應各種法規遵從的能力。這就要求在合規性需要與云部署相關聯時,需要重新評估合規性需要。有些云應用有很強的報表功能,可加以剪裁以適應特殊的合規性需要,而有些應用比較通用,不太可能或者不能適應詳細的合規性需要。舉例說,如果某個國家的法規規定,企業的數據不得存放在國境之外,然而有些云提供商由于其數據中心的位置有可能無法滿足這一法規的規定。
4. 云提供商是否在使用某種安全標準(SAML、WS-Trust、ISO或其他)?
在云計算中,標準發揮著非常重要的作用,因為各種云服務之間的互操作性對于確保云不會陷入專利的安全孤島來說是至關重要的。有不少的組織已經創建并擴展了支持云的各種標準倡議。Cloud-standards.Org列出了和云計算有關的大多數標準組織,其中也有和云安全標準相關的組織。
5. 如果發生數據泄漏該如何處理?
當企業在規劃云安全時,必須要正確地制定好防止數據泄漏和數據損失的規劃。這一點在企業與云服務提供商簽署整體協議時是至關重要的一點。云提供商和企業雙方都應該制定數據泄漏告知政策或者必須遵從的監管規則。企業必須敦促云提供商在一旦有需要時能夠支持企業的告知需要。
京公網安備 11010502049343號