進(jìn)入信息時(shí)代,人們或許對(duì)于電腦和網(wǎng)絡(luò)已經(jīng)相當(dāng)?shù)氖煜ち恕5绻崞?ldquo;云技術(shù)”,許多人依然是一頭霧水。
如果簡(jiǎn)單來(lái)形容“云”的話,可以把它看做一個(gè)數(shù)據(jù)的中轉(zhuǎn)站。在這個(gè)中轉(zhuǎn)站中,人們可以儲(chǔ)存、處理各種來(lái)自網(wǎng)絡(luò)的數(shù)據(jù)為自身服務(wù)。而對(duì)于是私有云還是共有云的區(qū)別問題來(lái)說,只要盤點(diǎn)這個(gè)數(shù)據(jù)互通的網(wǎng)絡(luò)是“公”是“私”即能對(duì)應(yīng)區(qū)分。
由于物理儲(chǔ)存和數(shù)據(jù)處理的極限,擁有龐大“支撐”的云技術(shù)越來(lái)越受到個(gè)人、企業(yè)甚至是政府機(jī)構(gòu)的歡迎。可以說在現(xiàn)代云技術(shù)的支持下,企業(yè)的信息化發(fā)展將邁向一個(gè)新的高度。但這種如同“興奮劑”一般的信息技術(shù),其帶來(lái)的也不完全是好的方面,由于云技術(shù)對(duì)于數(shù)據(jù)交互和儲(chǔ)存的特殊性,關(guān)于它的安全防護(hù)問題一直是各個(gè)企業(yè)CIO頭疼的事。
十問十答 深層剖析云安全的本質(zhì)問題
“云”的安全如何界定?
從定義上講,在安全方面云和自建數(shù)據(jù)中心其實(shí)差不了多少。從NSA引發(fā)的新聞風(fēng)暴,開始還是一個(gè)有關(guān)“云計(jì)算安全”的故事,后來(lái)卻演變成一場(chǎng)有關(guān)安全的全面討論。事實(shí)證明NSA能夠竊聽物理數(shù)據(jù)中心中的物理服務(wù)器,而且已經(jīng)入侵了世界上很多安全組織。
所以,云安全和物理世界一樣,也需要采取合適的防范措施,自然地,云是否安全的標(biāo)準(zhǔn)也可以參照“物理世界”的標(biāo)準(zhǔn)。
進(jìn)入“云”的數(shù)據(jù)安全嗎?
把應(yīng)用和數(shù)據(jù)遷移到云上會(huì)將部分責(zé)任從你自己的數(shù)據(jù)中心轉(zhuǎn)移到云提供商處。這是一種類似于外包行為。因此這會(huì)涉及控制權(quán)的轉(zhuǎn)移,而收回控制權(quán)又涉及相應(yīng)的程序和技術(shù)。
從某些方面,云計(jì)算是革命性的,但是從另一方面它又是發(fā)展性的。研究把控風(fēng)險(xiǎn)應(yīng)該首先需要明白這一點(diǎn)。我們?cè)跀?shù)據(jù)中心的所學(xué)會(huì)自然演化到云上,但同樣需要適當(dāng)?shù)倪^程。許多技術(shù)也在自然演化。
所以,你應(yīng)該開始規(guī)劃現(xiàn)有的程序和安全相關(guān)的技術(shù),了解如何將它們進(jìn)化到云上。在很多情況下,你都會(huì)發(fā)現(xiàn)有對(duì)應(yīng)關(guān)系。
但是,你會(huì)同時(shí)發(fā)現(xiàn),某些領(lǐng)域確實(shí)是革命性的。因?yàn)樵茮]有圍墻,所以數(shù)據(jù)中心的物理安全在云中并不奏效。云還涉及云提供商的員工,所以你需要想法設(shè)法管控那些不為你工作的人。這些都是明顯的變化,都需要新技術(shù)和新程序來(lái)應(yīng)對(duì)。
“云”中防護(hù)的主要策略是什么?
繼續(xù)云發(fā)展和變革的話題,云安全的很多方面對(duì)我們來(lái)說都很熟悉。防火墻、防病毒、認(rèn)證——這些都包含在云計(jì)算中。你會(huì)發(fā)現(xiàn)云提供商往往提供這些領(lǐng)域的解決方案,傳統(tǒng)廠商也在改進(jìn)其解決方案。
但是某些方面可能會(huì)改變你的想法。因?yàn)樵撇]有圍墻,而且云提供商的員工也能查看你的數(shù)據(jù)——所以你必須為數(shù)據(jù)創(chuàng)建隱形的圍墻。在云應(yīng)用場(chǎng)景中,面對(duì)這些問題,數(shù)據(jù)加密是公認(rèn)的最佳解決方法。
順便提一句,數(shù)據(jù)加密也能滿足傳統(tǒng)數(shù)據(jù)中心的需求——大多數(shù)的數(shù)據(jù)泄露都是從內(nèi)部發(fā)生的,所以威脅不僅僅來(lái)自云提供商的員工。但是,來(lái)自云環(huán)境內(nèi)部的威脅是促使數(shù)據(jù)加密的新焦點(diǎn),這點(diǎn)是毋庸置疑的。
而從傳統(tǒng)數(shù)據(jù)中心到云數(shù)據(jù)中心唯一的變化可能就是數(shù)據(jù)加密防護(hù)的多樣性需求了,而為了適應(yīng)這種多樣性的需求,采用同樣“靈活”的多模加密技術(shù)或許是最好的選擇。
多模加密技術(shù)采用對(duì)稱算法和非對(duì)稱算法相結(jié)合的技術(shù),在確保加密質(zhì)量的同時(shí),其多模的特性能讓用戶自主地選擇加密模式從而更靈活地應(yīng)對(duì)各種防護(hù)需求和安全環(huán)境。同時(shí)作為這項(xiàng)技術(shù)使用的典型代表山麗防水墻的多模加密模塊還采用了基于系統(tǒng)內(nèi)核的透明加密技術(shù),從而進(jìn)一步確保了加密防護(hù)的便利性和完整性(加密與格式無(wú)關(guān))。
適用于“云”的加密方法還有哪些?
不論靜態(tài)數(shù)據(jù)還是動(dòng)態(tài)數(shù)據(jù),你都需要對(duì)其進(jìn)行加密。對(duì)動(dòng)態(tài)數(shù)據(jù)加密,你已經(jīng)很熟悉了——HTTPS/SSL和IPSEC標(biāo)準(zhǔn)都很適合應(yīng)用在數(shù)據(jù)中心和云上。
對(duì)靜態(tài)數(shù)據(jù)進(jìn)行加密意味著對(duì)存儲(chǔ)在硬盤、數(shù)據(jù)庫(kù)、文件系統(tǒng)、托管方的數(shù)據(jù),當(dāng)然還有備份的數(shù)據(jù)都進(jìn)行加密處理。但在現(xiàn)實(shí)環(huán)境中,人們并沒有對(duì)數(shù)據(jù)中心的數(shù)據(jù)作類似處理——而往往依賴物理安全作為替代。而在云中,物理安全不再是替代方案——你必須對(duì)敏感數(shù)據(jù)進(jìn)行加密。
這意味著數(shù)據(jù)在寫入時(shí)就要加密,只有在使用時(shí)才進(jìn)行解密(比如在運(yùn)行特定計(jì)算之前,而且只能在內(nèi)存中)。類似高級(jí)加密標(biāo)準(zhǔn)(AES)的標(biāo)準(zhǔn)經(jīng)常應(yīng)用在靜態(tài)數(shù)據(jù)加密。
傳統(tǒng)的加密是否同樣能保證“云”中的數(shù)據(jù)安全呢?
從某種意義上,如果對(duì)數(shù)據(jù)進(jìn)行了正確地加密,問題的答案就是肯定的,這樣即使數(shù)據(jù)落到壞人手里,數(shù)據(jù)是鎖定的并不能使用。假如壞人手里有密鑰,情況就不同了。
處于“公共場(chǎng)合”的云安全是否需要規(guī)范呢?
像支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)、健康保險(xiǎn)流通與責(zé)任法案以及其他這樣的規(guī)范,要求或鼓勵(lì)對(duì)云數(shù)據(jù)進(jìn)行加密并對(duì)密鑰妥善管理。一些規(guī)范甚至提供一種“安全掩護(hù)”——如果你的數(shù)據(jù)泄露,但是你能證明你以前采取了必要的措施對(duì)數(shù)據(jù)加密并嚴(yán)格控制密鑰,你就能節(jié)省經(jīng)濟(jì)上的開支、免除向政府報(bào)告的麻煩、減輕因牽連這樣的事件而導(dǎo)致的名譽(yù)損失。
除加密外我們還有那些數(shù)據(jù)安全的應(yīng)急手段?
數(shù)據(jù)的整個(gè)生命周期必須是安全的。如果在數(shù)據(jù)使用時(shí)嚴(yán)格加密,但是把未加密的復(fù)制品如備份暴露給駭客,那加密的目標(biāo)豈不是失敗了。在信息生命周期的各點(diǎn),你都必須對(duì)數(shù)據(jù)進(jìn)行加密并妥善保管密鑰。幸運(yùn)的是已經(jīng)有為云環(huán)境打造的解決方案,而且包含對(duì)備份和主拷貝的保護(hù)。
公有云和私有云,哪個(gè)更安全?
從所有權(quán)、可控性、成本、便利性和多租戶等方面來(lái)講,公有云和私有云各有利弊。許多信息安全專家認(rèn)為私有云往往需要與公有云差不多的安全控制。應(yīng)用場(chǎng)景可能涉及公司外部的用戶;或者多個(gè)內(nèi)部項(xiàng)目進(jìn)行“虛擬”部署,每個(gè)都需要安全隔離。只要你對(duì)數(shù)據(jù)進(jìn)行有效加密,妥善保管你的密鑰,無(wú)論是私有云、公有云或者混合云,在所有的主要云場(chǎng)景中你都是安全的。
對(duì)于CIO而言 云安全意味著什么?
如果你能夠有效使用加密并保持對(duì)密鑰的控制,那么你就是用數(shù)學(xué)圍墻替換了物理圍墻。你就能擁有你的數(shù)據(jù)。盡管你沒有控制物理資源,但是你能控制物理資源所包含的數(shù)據(jù)信息。之所以說在云中加密是最好辦法,這是原因之一。
通過適當(dāng)使用跨地區(qū)備份甚至跨云提供商備份,你也能保證對(duì)項(xiàng)目和數(shù)據(jù)不間斷使用和訪問。
通過結(jié)合以上技術(shù),你就能收回你的控制權(quán)。作為CIO和數(shù)據(jù)的擁有者,你必須從始至終牢牢控制住你的數(shù)據(jù)。當(dāng)遷移到云端之后,你的控制權(quán)并不會(huì)被削弱,只是管理方式不同而已。
加入“安全防護(hù)”的“云”成本會(huì)變高嗎?
與傳統(tǒng)的數(shù)據(jù)中心相比,選擇云的初衷就是為了降低運(yùn)營(yíng)開銷,有時(shí)是為了節(jié)省實(shí)際的財(cái)務(wù)費(fèi)用。對(duì)云項(xiàng)目的安全保護(hù)并不會(huì)降低云的易用性,也不會(huì)導(dǎo)致項(xiàng)目成本升高。
現(xiàn)在已經(jīng)有現(xiàn)成的安全解決方案,不需要任何硬件投入,所以也就不需要巨大的財(cái)務(wù)花銷。按需付費(fèi)的業(yè)務(wù)模式讓你根據(jù)項(xiàng)目的規(guī)模調(diào)整安全方面的投入,就像你增加(或刪除)虛擬機(jī)或數(shù)據(jù)一樣。
京公網(wǎng)安備 11010502049343號(hào)