早在2011年我在舊金山舉行的年度信息安全大會RSA Conference上做新聞報道時,問過與會人士:“安全領域炒得最火的話題是什么?”
大家無一例外地回答:“云計算”。
四年前,云計算可能炒作過頭,不過如今它卻是必不可少的業(yè)務驅動因素。遺憾的是,由于對有效使用的認識存在著混淆,導致業(yè)界出現(xiàn)了一系列誤區(qū),常常讓許多CIO惴惴不安。
哪些是不斷流傳的云安全誤區(qū)?哪些才是真相?下面是行業(yè)專家們要說的話。
1. 云天生就不安全。
Mimecast公司的網(wǎng)絡安全專家Orlando Scott-Cowley認為:“一直流傳甚廣的最大誤區(qū)就是,你放在云端的數(shù)據(jù)不安全。這年頭外面仍有大批的服務器擁躉,他們聲稱數(shù)據(jù)放在自己的網(wǎng)絡上來得更安全;他們在服務器機房里能切實地控制服務器,看著小小的指示燈閃爍,覺得很放心。”
Softchoice公司的技術服務經(jīng)理Tim McKellips說:“對于不在自身控制范圍之內的東西,人們自然往往覺得天生不太安全。我認為,微軟等云服務提供商正在付出巨大的努力,以一種普通客戶無法做到的方式確保云環(huán)境安全。”
眾多專家提出了這個根深蒂固的誤區(qū),認為相比普通企業(yè),云服務提供商擁有更強的專業(yè)性和更多的技術人員。
LiquidHub公司的合伙人兼全球Salesforce業(yè)務負責人Brennan Burkhart說:“云服務公司正開始大規(guī)模地投入,規(guī)模之大是任何一家企業(yè)組織所無法比擬的。”
Nimbix公司的首席技術官Leo Reiter補充說:“網(wǎng)絡安全稱得上是云服務公司的立足之本,而另外大多數(shù)企業(yè)組織通常并不將安全列為是核心競爭力之一。”
Whatisitwellington網(wǎng)站的作者兼IT顧問Ian Apperley另補充道:“云計算提升了貴企業(yè)的安全;如果貴企業(yè)自己來搞,根本負擔不起因此需要的成本。這要歸功于云的規(guī)模經(jīng)濟效應。”
2.云安全爭論很簡單。
ISG公司的首席顧問Scott Feuless認為:“最大的誤區(qū)是,云安全問題實在太簡單了。”
“云不大安全”這個觀點沒有考慮到?jīng)Q定部署云服務所涉及的許多變化因素,比如貴企業(yè)的規(guī)模、現(xiàn)有的內部專長、你的競爭對手有哪些、是否需要為每一次部署執(zhí)行滲透測試以及貴企業(yè)的擴展需要。
沒必要將云看作是只能二擇其一的決定。Netskope公司的首席執(zhí)行官兼創(chuàng)始人Sanjay Beri說:“這不是‘是或不’或者‘允許或禁止’的問題。正是由于無所不在的API(應用編程接口),現(xiàn)在有一些工具和功能讓IT人員能夠在許多環(huán)境下確保云安全,滿足用戶的獨特要求。”
3. 云端數(shù)據(jù)泄露事件更多。
這個誤區(qū)再次讓一個非常復雜的問題簡單化了。據(jù)《2014年春天Alert Logic公司云安全報告》聲稱,內部服務提供商和云主機托管服務提供商(CHP)都發(fā)現(xiàn)從2012年到2013年,漏洞掃描的數(shù)量急劇增加,CHP的增幅略高一點。但是內部環(huán)境受攻擊的風險要高得多,這取決于攻擊類型,比如惡意軟件和僵尸網(wǎng)絡。
KEMP科技公司的產品線管理主管Jason Dover說:“對私有云基礎設施和服務提供商網(wǎng)絡而言,互聯(lián)網(wǎng)威脅完全是同樣大的風險。”
Huddle公司的總裁兼聯(lián)合創(chuàng)始人Alastair Mitchell說:“如果實施了預防和檢測攻擊的正確的安全政策,攻擊對云構成的威脅其實與對基礎設施的其他任何部分構成的威脅一樣小。”
ASG軟件解決方案公司云部門產品管理副總裁Torsten Volk特別指出:“公有云提供商通常雇有一支技術過硬的安全專業(yè)團隊,它們還擁有規(guī)模經(jīng)濟效應,有能力購置最先進的專業(yè)安全設備。它們的聲譽維系于此。”
4. 對數(shù)據(jù)擁有物理控制意味著安全。
Splunk公司的Splunk Cloud主管Praveen Rangnath說:“云安全方面的最大誤區(qū)是,控制是安全或者說是缺乏安全的基礎。其實,可見性才是基礎。”
NaviSite公司的總經(jīng)理Sumeet Sabharwal補充說:“過去幾個月諸多的重大安全事件足以表明,數(shù)據(jù)的物理位置不如訪問及相關控制措施來得重要。”
CliQr公司的企業(yè)開發(fā)執(zhí)行副總裁David Cope表示,相信數(shù)據(jù)位置誤區(qū)讓注意力偏離了較為常見的攻擊途徑,比如利用人性弱點和惡意軟件。他提到,韋里遜公司(Verizon)的《2014年數(shù)據(jù)泄露調查報告》就是這一安全威脅趨勢的佐證。
5. 保持云安全要困難得多。
Flux7公司的首席執(zhí)行官Aater Suleman說:“我們在安全方面常常碰到的一大誤區(qū)就是,在云端保持安全要比在企業(yè)內部保持安全來得困難。”
WatchGuard公司的安全戰(zhàn)略和研究主管Corey Nachreiner特別指出:“最終,‘云’完全就是別人的網(wǎng)絡。”
Suleman繼續(xù)說:“相信這個誤區(qū)導致許多公司不是以業(yè)務需求的名義危及安全,就是盡量讓關鍵任務型應用系統(tǒng)不使用云。”
Denny Cherry & Associates Consulting公司老板兼首席顧問Denny Cherry強調,其實安全問題很相似。“SQL注入攻擊(系統(tǒng)面臨的最大安全風險)仍是云環(huán)境面臨的一個問題,但可以用與內部環(huán)境一模一樣的方法來解決。無論是面對云服務提供商還是面對內部系統(tǒng),防火墻配置、滲透測試和VPN等都完全一樣重要。”
6. 你可以在云應用程序周圍豎起邊界。
Cohesive Networks公司的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Patrick Kerpan說:“由于應用程序遍布互聯(lián)網(wǎng),如果企業(yè)認為可以在自己的所有應用程序周圍豎立起邊界,那它準是瘋了。”
Sookasa公司的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Asaf Cidon補充道:“即便面對云,人們仍然從基于網(wǎng)絡的安全這個角度來考慮問題。他們仍試圖利用反向代理和防火墻來保護自己的網(wǎng)絡、遠離云。”
Kerpan繼續(xù)說:“安全應該延伸到每一個企業(yè)應用程序。”
Fluke Networks公司的安全分析師Greg Rayburn也表示:“需要多層安全防線來對付黑客。根本不存在哪一種高招。”
CMI公司的解決方案副總裁Tim Cuny說:“邊界因云而延伸,邊界已經(jīng)因移動技術和物聯(lián)網(wǎng)而支離破碎。應當擯棄保護網(wǎng)絡邊界這個舊觀念,將注意力放在一項全面的風險管理計劃上,致力于從人員、流程和技術的角度來保護資產。”
7. 我不用云,所以得到了更好的保護。
盡管許多人可能試圖自欺欺人地認為自己不用云,但我們都上網(wǎng),都面臨許多同樣的威脅。
Harmony科技公司的總裁Peter Landau認為:“如果你的系統(tǒng)連接到互聯(lián)網(wǎng),那么你已經(jīng)在云上。”
CloudCamp公司的聯(lián)合創(chuàng)始人Dave Nielsen補充道:“最大的安全威脅就是將任何設備(筆記本電腦等)連接到公共互聯(lián)網(wǎng),或者將任何軟件部署到公共互聯(lián)網(wǎng)上。”
8. 可以遏制影子IT。
SysAid科技公司的首席執(zhí)行官Sarah Lahav說:“無法避免員工自行購置云服務給安全帶來的影響或后果。”
不過,雖然IT部門無法控制IT消費化,但是一旦出了任何技術問題,IT部門仍難逃其責。
Fluke Networks公司的首席技術官Bruce Kosbab說:“業(yè)務用戶遇到應用程序性能糟糕的情況時(包括SaaS應用程序方面的性能問題),IT部門就要擔負責任,解決問題,盡管IT部門可能與所使用的基礎設施毫無瓜葛。為了避免這種情況,IT和業(yè)務部門必須通力合作。”
CloudTweaks網(wǎng)站的資深作者Steve Prentice補充道,充分代表各部門的管理層(包括首席執(zhí)行官)必須對云安全政策的設計、部署和維護負責。
9. 云安全完全是云服務提供商的責任。
RiskIO公司的戰(zhàn)略副總裁Jeff M. Spivey說:“一個常見的誤解是,云服務提供商自然而然滿足客戶數(shù)據(jù)和流程的所有安全要求。”
Avail Partners公司的執(zhí)行合伙人Scott Maurice說:“就因為獲得了針對云工作流程制定、實施和執(zhí)行安全措施的工具,并不天生可以規(guī)避攻擊或危害活動數(shù)量增加引起的業(yè)務風險。”
ASG公司的Volk補充說:“密碼政策、軟件補丁的發(fā)布管理、用戶角色管理、人員安全培訓和數(shù)據(jù)管理政策,這些都是客戶需要擔負的責任,起碼與公有云提供商所做的安全工作一樣重要。”
就在你加固內部安全的同時,別想當然地以為云服務提供商備份你的數(shù)據(jù),萬一出現(xiàn)安全泄密事件,它能夠恢復數(shù)據(jù)。
Galeas Consulting公司的總裁Bruno Scap說:“實施將放在云端的數(shù)據(jù)備份到本地備份系統(tǒng)或另一家云服務提供商的備份解決方案,這一點大有幫助,也至關重要。此外,為了防止安全泄密,你可能需要從已知干凈的備份來恢復數(shù)據(jù)。”
10. 你不需要管理云。
Oildex公司的軟件工程副總裁Michael Weiss說:“許多人以為,由于云基礎設施常常根本上就是一項托管服務,服務的安全同樣受到管理。許多基于云的系統(tǒng)之所以無意間變得不安全,是因為客戶不知道自己需要采取一些措施來確保安全,因為他們以為提供商做了內部安全人員傳統(tǒng)上在默認情況下會做的工作。”
Zensar科技公司的助理副總裁兼云專家David Eichorn說:“任何數(shù)據(jù)中心需要什么樣的安全機制,云安全就需要同樣一套機制。云數(shù)據(jù)中心與任何數(shù)據(jù)中心一樣具有彈性,不過要是相應的IT操作人員沒有定期監(jiān)控政策、流程和工具,安全漏洞就會出現(xiàn)。”
451研究公司的企業(yè)安全業(yè)務高級分析師Adrian Sanabria說:“要明白界線在哪里。誰對什么負責。通常而言,云服務提供商基本上要負責其網(wǎng)絡上及其數(shù)據(jù)中心中的一切。然而,硬件層和低級網(wǎng)絡層上面的一切則是客戶需要負責的。”
11. 你可以忽視BYOD,因而來得更安全。
Acronis公司的云和托管服務銷售高級副總裁John Zanni特別指出:“不支持、不實施BYOD(自帶設備)政策并不意味著,企業(yè)不太可能遭到數(shù)據(jù)泄密事件。BYOD潮流已蔚然成風。”
Zanni建議部署移動內容管理(MCM)解決方案,因為保護數(shù)據(jù)將最終決定貴企業(yè)的安全和合規(guī)需求。
12. 云數(shù)據(jù)并不保存在移動設備上
Nubo公司的首席執(zhí)行官Israel Lifshitz說:“我仍然聽到有人在談論云部署,好像使用這種服務意味著你并不將任何企業(yè)數(shù)據(jù)保存在移動設備上,因而可能讓設備數(shù)據(jù)保護顯得毫無實際意義。連接到設備的應用程序總是要緩存數(shù)據(jù),而這些緩存數(shù)據(jù)存儲在你員工的移動設備上。這些數(shù)據(jù)有可能泄漏,因而必須加以保護。”
13. 單租戶系統(tǒng)比多租戶系統(tǒng)來得安全。
Panopto公司的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Eric Burns說:“相比單租戶系統(tǒng),多租戶系統(tǒng)具有兩個安全方面的好處。它們?yōu)閮热萏峁┝祟~外一層保護,另外確保安全補丁總是最新的。”
Burns特別指出,雖然云托管系統(tǒng)提供了基于硬件的邊界安全,但是選擇多租戶解決方案的那些用戶獲得了第三層保護:邏輯內容隔離,這層保護旨在有助于預防邊界內部攻擊。
Burns解釋:“就好比公寓大樓里面的租戶使用一把鑰匙進入大樓,使用另一把鑰匙進入自己所在的公寓,多租戶系統(tǒng)既需要邊界安全,又需要‘公寓級’安全,這點很獨特。”
這對多租戶系統(tǒng)來說是一層必不可少的保護。
弗雷斯特研究公司的副總裁兼首席分析師John Rymer說:“多租戶服務始終確保所有資產的安全,因為主邊界里面的那些用戶都是不同的客戶。”
此外,Burns說:“多租戶系統(tǒng)確保同時為所有客戶發(fā)布了軟件更新版(包括安全補丁)。換成單租戶系統(tǒng),就需要軟件開發(fā)商逐一更新每個客戶的虛擬機。”
14. 多租戶系統(tǒng)比單租戶系統(tǒng)來得安全。
云安全領域沒有絕對的東西。以為多租戶系統(tǒng)比單租戶系統(tǒng)來得安全也是個誤區(qū)。
對一些企業(yè)組織來說,多租戶環(huán)境下出現(xiàn)的強行升級和維護窗口可能是不利因素。
Bomgar公司的解決方案技術高級主管Boatner Blankenstein說:“確保你的變更管理需求能得到滿足,確保你有時間來規(guī)劃升級,這對多租戶系統(tǒng)而言常常是個問題。單租戶為計劃停機維護增添了靈活性,而不影響其他用戶。”
15. 你放在云端的數(shù)據(jù)歸你掌控。
Legal Workspace公司的首席執(zhí)行官Joe Kelly提醒道:“你上傳了數(shù)據(jù)后,你的數(shù)據(jù)并不總是你的。如果數(shù)據(jù)存放在另一個國家,你可能還要考慮棘手的跨境管轄問題。許多網(wǎng)站保留了確定數(shù)據(jù)是否違規(guī)或者是否侵犯版權或知識產權法的權利。另一些網(wǎng)站兜售基于你內容的廣告――這意味著你的信息可能不如想象的來得那么私密。”
16. 云服務提供商會不斷管理認證和合規(guī)。
Virtustream公司的聯(lián)合創(chuàng)始人兼解決方案架構高級副總裁Sean Jennings解釋:“許多云服務商將平臺的安全狀況過于簡單化了,把談話的主題轉向合規(guī)和第三方授予的認證上。安全認證只是體現(xiàn)了當下的云平臺及支撐性流程……剛獲得認證,結果就過時了,這完全有可能。”
Silicon Mechanics公司的首席運營官Dan Chow說:“注意力未必要放在實施合規(guī)政策上,而是應該放在滿足合規(guī)的審計和報告上。如果監(jiān)管標準發(fā)生變化,知道哪里存在不足,這對于滿足最新要求,并確保公司合規(guī)、遵守最新標準來說很重要。”
17. 云安全是一種產品或服務。
Galeas Consulting公司的Scap說:“安全不是一種產品或服務,而是一個過程。根據(jù)某一個應用程序或服務的用途對你的網(wǎng)絡進行分段,部署防火墻,監(jiān)控日志、系統(tǒng)和網(wǎng)絡活動,制定并遵守安全程序和政策,確定誰可以訪問數(shù)據(jù),還要有萬一出現(xiàn)安全泄密事件,可以遵循的方案。”
18. 云服務器有無窮無盡的資源。
你的云服務器似乎有無窮無盡的內存和處理能力,但是消耗不必要的過多資源可能會導致性能問題、費用急劇上升。
TAG-MC公司的總裁Abdul Jaludi解釋:“云服務器在處理器、內存和輸入/輸出方面面臨限制,用戶請求時通常決定了這樣。這些資源與云環(huán)境的其他用戶共享,根據(jù)需要在諸云服務器之間轉移。云服務器使用所需的任何資源,但不得超過配置的資源數(shù)量。在許多公司,允許用戶超額使用所配置的資源,但是成本要高得多,這非常像手機服務套餐。”
19. 沒法核查第三方提供商其實在如何處理你的數(shù)據(jù)。
AeroFS公司的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Yuri Sagalov說:“人們在談論公有云安全時,居心叵測的內部人員是最值得關注、未引起充分重視的問題之一。如果將存儲和計算這一塊外包給第三方提供商,你現(xiàn)在不但需要信任自己的員工,還需要信任請來存儲和處理數(shù)據(jù)的第三方提供商的員工。”
Good Technology公司的首席技術官Nicko van Someren補充道:“一些云服務提供商以企業(yè)不希望或者可能侵犯員工隱私的方式挖掘企業(yè)數(shù)據(jù)。確保云服務提供商能夠為客戶提供審計日志,查明可能訪問企業(yè)數(shù)據(jù)的每個人,可能還要證明他們通過了必要的背景調查和許可。”
20. 大牌云服務提供商不需要核實。
選擇一家大牌云服務提供商似乎合情合理,畢竟它們通常擁有龐大的網(wǎng)絡、遍布全球的數(shù)據(jù)中心和極高的業(yè)內知名度。很容易相信它們不犯錯。它們太龐大了,不會倒閉。
Infinitely Virtual公司的首席執(zhí)行官兼創(chuàng)始人Adam Stern告誡,別犯“相信對方而懶得核實”這個毛病。“雖然對方公司不會倒閉,但你公司可能會倒閉。不合時宜的停運或故障可能會釀成重大危害。”
Stern勸你要全面了解你與提供商之間的支持關系。“如果本該安全的環(huán)境突然出現(xiàn)了漏洞,誰來處理投訴、誰來實際提供幫助?”
結論:消除云誤區(qū)讓你可以減小風險
Avail Partners公司的Maurice認為:“當中央情報局(CIA)和納斯達克(NASDAQ)都開始將工作負載部署到云上,能不能確保云的安全這個爭論就不復存在了。”
繼續(xù)相信云方面的種種誤區(qū)只會阻礙貴企業(yè)獲得云的諸多好處。
弗雷斯特研究公司的高級分析師Lauren Nelson解釋:“公有云實際上是為全新的項目或投資盡量減小財務風險的機會。”
京公網(wǎng)安備 11010502049343號