云計算讓企業IT心神不寧。只為一件事,這是一種顛覆性的技術--將計算資源轉化成為一種共享的公共設施。這種技術也導致了IT資產缺乏透明度以及較少的控制性。BYOD導致了對于數據丟失和安全的擔憂,也難怪一些云新手突然沖出“蜂巢
SearchCloudComputing.com同Jim Reavis進行了對話,他是云安全聯盟(CSA)的執行總監,就公有云和私有云實際安全問題以及企業進入云端的常見誤解和我們進行了探討。
安全問題通常是企業為什么小心云計算列表的首要問題。那么,什么是公有云和私有云的實際安全風險呢?
Jim Reavis:任何時候,我們進入一個新的技術平臺,關于改變的后果會有很多問題。談到公有云,就是一種計算資源轉化成為這種可共享的公共設施的重大改變。這種技術中也缺少來自客戶觀點(業務人員和企業)對于IT資產的透明度,而且不再能夠控制IT資產。沒有透明度導致了一些未知的問題。就我所看到的,云計算傾向于為中小型企業進行安全升級,因為提供商能夠實際的在安全實踐中投資。而且小型業務通常進行最小的、過時的以及不適當的動作。這也是為什么小型業務蜂擁走向云。他們意識到這就是對于其統統IT的實際升級。
大型企業如何看待呢?主要的安全問題是什么?
Reavis:對于大型業務來說,安全需求確實是問題--法規遵從問題,在云端有所進步。我們需要在提供商和客戶之間有一種中間協議和溝通,從而確保我們可以理解安全需求,而且能夠溝通做哪些可以讓客戶滿意。隨后,企業逐步形成了一種復雜的、多層防護。讓試圖使其服務能夠廣泛復制這些需求的云提供商工作有跡可循。你的業務越大,你的需求就越復雜。而且,在無法完全控制所有資源的情況下,符合所有的這些需求時可能會遇到一些挑戰。
這些問題在私有云中還會存在嗎?
Reavis:如果你通過完整的定義來規定云計算,而且實際的嘗試在相對大范圍的環境中提供這種彈性計算,就會有大量相同的問題。例如大型金融機構,有大量國際市場,可能是分析師和交易員,你必須實際的提供這些控制。這并不是像私有云中透明度問題一樣大的問題,但是你要嘗試隔離開(從大部分環境中隔離開),以便他們不會廣泛地訪問。私有云變得越大,起開始看起來就越像公有云,因此它們共享了很多相同的問題。
企業IT關于云安全最大的一些誤會是什么?
Reavis:企業將會變成一種更加客戶化的云,而且會遷移更多的系統。一些云誤解是因為嚴重缺乏教育資源。我曾和一些CIO探討,他們否認進入云端;而是,他們正在使用一種更為管飯的各種SaaS應用。在如果你同提供商工作在一起,它們能夠做什么上也存在一些認知差距,相反則是草率的看看他們的標準SLA.企業并沒有意識到他們實際上有很多問題可以問,他們可以同系統集成商或者是合作伙伴一起來加強云服務。從提供商的觀點,缺少對于有標準愿景的大型客戶的需求的理解。
你有沒有發現企業并沒有意識到他們有能力成為云提供商的中間商?
Reavis:我認為這是一種不理解合同層上存在余地、靈活性和談判的可能性的結合。可以從架構層面價加強,企業可以自己連同第三方或者二級市場服務。也缺少對于評估工具的理解,CSA就提供了很多可用的工具。云客戶可能會說,沒有標準,但是如果提供商遵照具體的目標,你可以詢問。我認為人們說沒有工具可以用來評估法規遵從,并將其作為不能解決業務需求和云環境的關系的一種辯解。那么戰略注定要失敗。
CSA最近組成了移動工作組。能介紹一下BYOD和云還有哪些額外的安全問題嗎?
Reavis:將移動和云計算看做相似的消費化結果是有益的。一方面,消費化將其作為產品推銷給IT系統,比如云,也導致了更加更加強勁的端點,移動設備。客戶可以自己購買。這些事情聚集到一起,創造了影子IT,個人或者業務部門可以獲取其自己的后端IT系統。這也導致了很多治理問題。當我們開始移動IT分割,我們會考慮數據治理問題,以及他們如何影響數據在哪里存儲。人們會在這些設備上使用應用商店,無論他們是合作的或者是自己帶來的,應用商店安全問題也是一個問題。我們不能忽略云愿景中的移動,因為這將是用戶訪問、利用和同云交互的一種主要的途徑。我們要為設備管理或者業務共存以及通用設備個人使用考慮這些問題。
安全即服務是保護BYOD的最佳方式嗎?
Reavis:你會看到更多的安全功能轉移到云端。企業將會更加關注于下鎖設備,并尋求如何加密信息,為認證和禁用設備遠程使用。很多迅速移動的威脅可以通過互聯網很好的解決。網絡提供了更高層級的安全,以及一種更加靈活的方式來支持企業采用新技術。唯一能夠使你保持云步伐的方式就是云服務。
京公網安備 11010502049343號