云安全需要全面的安全保護。在傳統的安全命題上,業界強調的是邊界安全,通過防火墻、防病毒軟件以及防入侵檢測等各種安全工具把邊界保護起來。然而,道高一尺,魔高一丈。在云計算背景下,我們發現最大的安全威脅不是來自于外部,反而是內部。因為只有內部的人才真正了解機密的信息到底藏在哪里,才更容易將機密信息泄漏出去。對此,賽門鐵克吳錫源表示,“防信息外泄比保護邊界安全更為重要”。近兩年,賽門鐵克的信息安全防護產品DLP實現了兩倍甚至更多的增長。
與此同時,需要注意的是,在包括“云—管—端”的云計算架構中,用戶往往擔心“云”安全而拒絕使用云服務。殊不知,安全威脅更多的是發生在“端”。“很多用戶對安全重視程度不高,例如他們隨意的輸入賬戶密碼等各種機密信息,或者上網當遇到有彈出框提示安全警告時,他們也會選擇忽略。這些行為都埋下了安全隱患。”吳錫源說。
在去年發布的《賽門鐵克互聯網安全威脅報告》就證實了上述觀點——攻擊者們對各類上市的跨國公司,政府機構以及數量驚人的小型企業發動了有目標的攻擊。很多事實表明,攻擊者都會對每個公司內部的關鍵受害者進行研究,然后用定制的社會工程攻擊來侵入受害者的網絡。由于它們明確的目標性,即使受害企業具備基本的安全措施,許多此類攻擊也會獲得成功。
因此,針對“云—管—端”,趨勢科技、賽門鐵克等安全廠商都有提供相應的安全產品和解決方案。不過,在吳錫源看來,這遠遠不夠,技術只是為云計算樹立起第一道安全防護圍墻,而云安全是一個系統工程,還需要完善的法律法規以及成熟的審計制度的支持。對此,一些安全專家對企業IT部門也提出了建議。
首先,IT負責人應把握好對安全性、可用性和成本等重要問題的控制,做到這一點需要事先對IT員工進行適當的培訓和準備工作。
其次,并非所有的信息和應用都是在同一層面上創建的。進行分析并將信息和應用放置在各個層次,這樣才能確定哪些能優先進入云環境。
再次,確保關鍵信息只能被授權用戶訪問,且不得將關鍵信息帶出公司。同時,確保云服務提供商能滿足企業合規性的要求。最后,對潛在云服務供應商的運作能力進行評估,例如高可用性和災難恢復能力。
最后,云計算的實現并非是一步到位的工作。充分利用云服務是邁入云環境的一個簡單的開始。盡管轉移業務關鍵應用的準備可能需要一些時間,但可以先從比較簡單的應用和服務開始部署。
京公網安備 11010502049343號