對于希望利用云計算服務(wù)的企業(yè)來說,其所面臨最緊迫的挑戰(zhàn)之一就是透明度問題。他們應(yīng)該如何評估云計算服務(wù)供應(yīng)商(CSP)的安全性,以及他們應(yīng)當(dāng)如何確定某特定CSP的信譽和可靠性?
于去年推出的云計算安全聯(lián)盟的安全、信任以及保證注冊(STAR)是促使CSP安全性和運營更為透明和開放的一次嘗試。但是,也有該行業(yè)的其他集團(tuán)正在努力以提升企業(yè)應(yīng)當(dāng)熟悉的云計算透明度。雖然他們所采用的方法不同,但其目標(biāo)是一致的,即進(jìn)一步推動CSP安全性和運營的透明度和開放性。
云計算透明度:開放數(shù)據(jù)中心聯(lián)盟
開放數(shù)據(jù)中心聯(lián)盟(ODCA)是一個獨立的IT聯(lián)營企業(yè),它向標(biāo)準(zhǔn)、使用模式以及其他與數(shù)據(jù)中心運營和云計算相關(guān)的領(lǐng)域提供指導(dǎo)。其模式是社區(qū)驅(qū)動,它向ODCA成員征求意見建議以制定具體的使用模式,提供對數(shù)據(jù)中心挑戰(zhàn)和使用情況特別是關(guān)注云計算基礎(chǔ)設(shè)施的詳細(xì)考慮。ODCA關(guān)注的核心價值觀是增進(jìn)云計算用戶和供應(yīng)商之間的交互和支持,其目標(biāo)是創(chuàng)建納入使用模式關(guān)鍵因素的“工作域”。這些措施包括安全(提供保障和安全合規(guī)性監(jiān)控)、監(jiān)管(監(jiān)管框架和碳足跡)、管理、服務(wù)(服務(wù)目錄和計量單位)以及基礎(chǔ)設(shè)施(虛擬機(jī)互操作性和輸入/輸出(IO)控制)。該域中有眾多IT企業(yè)最為關(guān)注的問題,其中涉及內(nèi)部與外部云計算環(huán)境的安全性和可用性,并定期發(fā)布使用模式的更新。
雖然ODCA并沒有一個像STAR一樣的“自我報告”透明度機(jī)制,但是有幾個具體的使用模式可直接提升供應(yīng)商的透明度。首先是采用安全監(jiān)控使用模式,該模式要求供應(yīng)商為用戶提供一個基于網(wǎng)絡(luò)的接口以檢測種類繁多安全控制的狀態(tài),其中包括防病毒定義、入侵防御系統(tǒng)(IPS)事件和防火墻日志。當(dāng)前的模式明確指出,正在進(jìn)行的工作需要更緊密地配合CSA云計算控制矩陣和其他控制框架。實現(xiàn)透明度的第二種模式是供應(yīng)商保障模式,該模式要求云計算供應(yīng)商遵守由諸如NIST、PCI安全標(biāo)準(zhǔn)委員會以及ISO等標(biāo)準(zhǔn)組織定義的法規(guī)和控制,以及在安全監(jiān)控模式中介紹的安全板。CSP可以達(dá)到四個級別的保障:
銅級:基本的安全性,如防病毒、防火墻、漏洞管理、安全事件監(jiān)控和物理安全訪問限制。
銀級:相當(dāng)于一般企業(yè)的安全性,其中包括防止網(wǎng)絡(luò)入侵、事件日志記錄、連續(xù)性規(guī)劃以及更為強(qiáng)大的安全性文檔。
黃金級:相當(dāng)于金融組織的安全性,其中包括滲透測試功能、多因素身份驗證、存儲加密和物理服務(wù)器隔離。
白金級:相當(dāng)于軍事組織的安全性,具有更為強(qiáng)大的加密措施和取消云計算供應(yīng)商管理員的訪問。
同樣,每個保障級別都有相應(yīng)具體而明確的要求。例如,“網(wǎng)絡(luò)與防火墻管理”描述了每個等級的控制和流程,具體如下:
銅級:CSP管理所有的防火墻規(guī)則,且無需消費者的介入。
銀級:CSP管理防火墻規(guī)則,并接受消費者的一些意見和建議。CSP還提供了邏輯物理層之間的網(wǎng)絡(luò)分隔。
黃金級:由消費者管理防火墻規(guī)則,而由CSP提供防火墻的管理維護(hù)。提供邏輯層之間的網(wǎng)絡(luò)分隔和應(yīng)用程序?qū)颖Wo(hù)。
白金級:CSP完全無法訪問防火墻,而由消費者管理一切。提供邏輯層之間的網(wǎng)絡(luò)分隔和應(yīng)用程序?qū)颖Wo(hù)。
云計算標(biāo)準(zhǔn)客戶委員會
雖然并不像STAR以及ODCA一樣直接為云計算透明度做出貢獻(xiàn),云計算標(biāo)準(zhǔn)客戶委員會(CSCC)一直主要以使用用例和一般性指導(dǎo)的形式致力于為云計算項目實施者提供戰(zhàn)術(shù)和戰(zhàn)略的變革和建議。其目前的使用用例文檔包括對特定控制區(qū)域(如資產(chǎn)管理、密碼與密鑰管理、以及網(wǎng)絡(luò)安全性)的高層次安全指導(dǎo)。另外,還涉及一些簡單的用例。目前,CSCC似乎沒有提供以保障或透明度為目的的注冊,但確實還有一個包括供應(yīng)商和大型消費者在內(nèi)的重要成員名單。
CSCC也緊密跟隨開放云計算宣言,這是一個有超過400名支持者的運動,其目的在于促進(jìn)云計算控制和配置標(biāo)準(zhǔn)溝通的更開放標(biāo)準(zhǔn)、對話和一致透明度。隨著時間的推移,CSCC將有可能成為云計算透明度的一個重要貢獻(xiàn)者,并可能導(dǎo)致如STAR計劃的改進(jìn)參與。
隨著越來越多的企業(yè)尋求過渡到混合云計算和公共云計算模式,對于云計算供應(yīng)商透明度的需求只會變得更加緊迫。如何努力以獲得云計算透明度的成功還有待于我們拭目以待。到今天為止,只有三家企業(yè)已提交了CSA的STAR信息:Microsoft Office 365、Mimecast 以及 Solutionary。這一點表明,眾多云計算供應(yīng)商可能還沒有做好提交該級別詳細(xì)信息的準(zhǔn)備,或者可能還沒有很多社區(qū)支持或STAR的知識。盡管如此,云計算用戶可以期待諸如CSA、ODCA以及CSCC這樣的組織可以提供供應(yīng)商控制狀態(tài)的監(jiān)控與報告的有益指導(dǎo)。
京公網(wǎng)安備 11010502049343號