據一名安全專家的預測,隨著越來越多的公司開始選擇將數據和應用從內部IT系統遷移到第三方提供的云服務上;因此,針對供應商基礎設施的攻擊也將變得“越來越嚴重”。專家認為這些威脅將促使相關人員就建立云標準的必要性展開討論。
云安全聯盟(CSA)常務董事吉姆·雷維斯宣稱,由于更多的企業開始選擇利用外包方式管理數據和應用,這種方式可能會受到黑客的注意,開始對云供應商的后臺基礎設施和平臺即服務(PaaS)系統進行攻擊。
這位高管稱:“我認為人們將會看到非常嚴重的事故,并且事情也將會變得非常有趣,原因就是,這些事故可能導致出現需要誰來承擔違約責任的討論”。雷維斯正在新加坡出席一場國際標準化組織關于云安全標準的會議,與此同時建立了CSA新加坡辦事處。
他指出,在這樣包含了政府官員和私營企業代表參與的云安全標準會議上,選擇最終將該架構加入到ISO標準之前,就“如何構建供應商和客戶可以控制的架構”進行討論是非常重要的。
雷維斯相信,由于企業遷移到云中的速度變得越來越快,建立安全標準已經成為不可忽視的頭號問題。他進一步指出,尤其是虛擬化和云計算讓越來越多的數據和資產都集中到單獨的基礎設施上,帶來風險集中的問題需要被認識到。
他解釋說:“以虛擬化為例。我們知道針對虛擬機管理器的攻擊可能導致虛擬機出現躍動,這也就意味著很多客戶可能會受到影響。”
雷維斯強調了與各國政府以及國家監管機構堅持交流的重要性,就象應對自然災害導致的后果,作為利益相關者,他們可以學習利用自己的系統或者供應商減輕網絡攻擊帶來的危害。
對數據隱私難題的求解
除了制定安全標準,雷維斯還非常關注現今可用數據位置隱私類法規的深化。他解釋說,這是因為目前缺乏“恰當有效的數據隱私類法律法規”。
雷維斯指出,目前不同地區針對如何保護敏感信息的安全存在著不同的觀點。舉例來說,位于歐洲聯盟的公司就不能將數據保存在區域之外的數據中心。
當然,雷維斯承認,通過采用建立“安全區域”的模式可以繞開這一問題。他解釋說,一種可行的方法就是“進行格式化加密處理,這樣的話軟件中的加密信息就可以按照軟件即服務(SaaS)模式,在不損害數據完整性的情況下,安置在任何位置”。不過,他進一步補充說,這些方法的效果“非常有限”。
從個人角度來看,雷維斯認為就更永久性的解決方案進行討論的“速度應該加快”,以便讓法律盡快確認這種情況,而CSA就正致力于加快與國家監管機構之間的溝通速度。
就“幫助法律制定者和政府官員了解云模式是如何運作的,并解釋法律在技術的應用過程中依然得到了遵守,” 雷維斯進行了詳細的說明,他指出如果該做法獲得成功的話,不僅僅是受到高度管制行業中的公司可以獲得好處,云服務供應商也會因為潛在客戶群的擴大而受益。
雷維斯指出:“從經濟學的角度來看,云服務供應商可以為超出國家范圍的客戶提供服務。如果希望成為區域或者全球供應商的話,來自司法管轄權方面的限制將會對獲得成功的概率帶來影響”。
這位CSA的高管預測,對于云行業來說,由于大量公司將看到云項目實施的結果情況,因此,接下來的18個月將是至關重要的。實際上,他已經發現在過去三個月里,大型項目的“遷移速度變得非常迅速”。
雷維斯指出:“公司已經相信云屬于未來發展的方向,現在的問題是如何進行具體部署”;“對于企業來說,盡管對數據應該按照何種比例分配到私有云和公共云中,還需要進行大量的討論,但至少他們已經開始關注混合問題了”。
作為CSA的高管,雷維斯表達出受到當前高速發展趨勢的鼓舞,對接下來的一年半里云標準的建立讓整個行業變得“更加協調”的前景充滿了信心的觀點。
京公網安備 11010502049343號