2011年12月1日 你認為你的數據在云系統中安全嗎?以下有六個關于你的云供應商的棘手問題。
無論是依靠Google Docs進行文件共享的小企業還是將其全球ERP系統轉移至云計算的大企業,他們都應使供應商通過網絡提供應用和服務滿足其一般性安全和法規的要求。這些要求涉及到誰可以訪問到企業應用程序、數據及其主管系統,數據的儲存位置以及這些數據是否是專用,而不是在硬件上共享。供應商同樣應確保用戶了解其數據訪問人的詳細記錄,以便用戶滿足企業及其監管標準,并驗證數據是否正確加密,這是企業防火墻外更為重要的一個因素。
企業對云的需求取決于其企業標準和法規要求、轉移至云計算所用工作負荷的總額和類型、如何劃分員工和供應商之間的管理和安全職責。安全需求同樣取決于企業是否使用了SaaS、IaaS或PaaS產品,但他們至少應考慮在其云安全規劃中的以下問題。
誰擁有認證或訪問的控制權?
能夠證明用戶的身份認證、控制其訪問過的數據和執行的職能都取決于他們的身份和角色,具備能力幾乎是每位云用戶的當務之急。當企業在防火墻內使用會控制其云服務器和應用程序的像Active Directory 那樣的儲存庫來維護用戶信息和控制裝置時,身份驗證可能最具挑戰性。
據業內分析師表示,最理想的解決方案是擁有一項“聯合”的身份管理準入制度來集中所有部門系統內外的認證信息,以便及時驗證任何出示正確憑據的用戶,如密碼或驗證碼。它同樣也在企業內或運系統中提供了單一登錄,讓用戶輸入單一的用戶名和密碼就能訪問其所有應用程序和數據。雖然SaaS上游供應商擁有基礎設施,為大量自身擁有配置來充當“身份供應者”的客戶提供了單一登錄,但很多規模較小的服務供應商及其客戶都缺乏這些供應能力。
然而,由于聯合的身份管理可能成本太高或較難實施,因此很多企業傾向于“同步化”的方法,能使不同的應用程序維護用戶驗證信息的不同副本。這樣通過在多個地點和企業間傳播用戶憑證數據可能會危及安全,此外,員工在退出內部系統和云應用程序之間的退出時間中延遲,從而造成潛在的安全缺口。
另一種驗證選項是支持云供應商直接連接到企業的用戶信息存儲庫,這可能比同步化更為安全,但只有在這些企業擁有一個相對簡單的系統收集時才會有效。這也是醫療保健供應商HCR采取的方式,其信息安全總監Thomas Vines表示,他在過去七年都使用了一個基于云的應用程序來管理企業的電子病歷系統,并聲稱這種方法很適合該系統。Vines允許一家來自Zscaler的云安全服務商接入其Active Directory的實施,以確定哪些用戶需要認證以及給予他們什么級別的訪問權。
NetIQ的云產品管理總監Tom Cecere指出,在一項IaaS的實施中,通過服務供應商簡單地鏈接到LDAP目錄,客戶就能購買云服務器的使用權。這是因為通常只有數量有限的管理角色,例如,一個角色是可能包括創建新服務器的用戶,另一個可能會涵蓋廣泛的能擴大服務器能力的設置,也可能包含仍使用服務器的較大企業群。
許多像Symplified、Okta和Ping Identity這樣的供應商會通過一種“簡化的聯合方式”提供單一登錄,這種聯合方式將重新定位用戶的訪問需求,以支持所有云服務的云驗證程序。
另一項挑戰就是要確保用戶只能訪問其應用程序,或是在他們被授權的應用程序中的數據和功能。
不是所有的企業都要求在規格化的訪問過程中擁有相同的間隔水平,但供應商提供的細節水平十分重要,而不是只依賴于通過激勵訪問來獲得最大利潤的供應商提供的相當“粗糙”的管理控制。Aveksa就是一家能提供更細化的訪問控制、銷售其軟件給云供應商和云客戶的供應商。
本文導航責任編輯:行云之路 聯系郵箱:[email protected]
京公網安備 11010502049343號