【TechTarget中國原創】首席信息官(CIO)和首席信息安全官(CISO)們承受著壓力,要重新設計他們的信息安全策略以適應新的商業模式:虛擬云計算環境,在該環境中,資源被共享且可轉移。
這些技術主管正在設置新策略,并投資新技術以考慮公共和私有云的彈性、自服務供給和共享數據的基礎設施。隨著用戶開發了用于防火墻之外(甚至在防火墻內)的第三方服務,以實共享環境中的協作,用于身份管理的新的策略和系統正在設計中。此外,需要確定數據安全和隱私監測的新界限,牢記遷移到一個虛擬云環境將如何影響合規性。
馬薩諸塞州沃爾瑟姆的Raytheon公司的公共領域并沒有冒險使用云。為實現成本節約,這家國防設備制造商正在開發共享的、私有的“云類型服務”,如果它和它的合作伙伴可以就美國空軍、陸軍和海軍喜歡的新的程序和產品進行測試、構建和協作,那么該服務可以實現。
Raytheon公司的副CISO兼IT服務總監Michael Daly說:“[在虛擬云計算環境中的]安全問題和控制更復雜。不僅僅是管理簡單的變更控制,還需要經歷許多信任和祈禱:‘嘿,防火墻控制隨著[數據或服務]遷移了嗎?當生成和刪除這些虛擬機時,負責加密的[安全]密鑰得到維護了嗎?’”
當談到共享環境的安全時,,和許多其它的IT主管一樣,在這一點上Daly的問題比答案多:隨著項目的啟動和關閉,公司如何知道誰需要訪問哪些信息?用戶是否有權訪問它?在私有云上參與開發的各方如何就取消用戶配置達成一致?這種情況超越了云模型。他說,在業務模式轉向業務共享資源,以在協作環境中開發產品和服務方面,云說到底是一個副產品或一種手段。
內部和外部身份管理
企業用戶繞過IT部門登錄以訪問虛擬云計算服務。因此,問題變成,誰有權撥入和撥出云服務?
紐約人壽投資管理公司位于馬薩諸塞州的紐約人壽退休計劃服務(RPS)部門的IT團隊已經選擇了阻止訪問第三方虛擬云計算服務,并在從自己的網絡轉移信息的風險方面教育用戶。
紐約人壽RPS的管理董事兼首席信息官Neal Ramasamy說:“我知道,[對用戶來說],移動到云服務非常容易,但隨之帶來了很大的風險。我和請求者一起坐下來,以了解為什么他們要訪問第三方云。考慮我們的公司戰略,我的目標是不要有四家不同的[云供應商],而是挑選一家。”
當Raytheon公司的IT部門標記第三方的云服務請求時,Daly和他的團隊解釋為什么把文檔上傳到Google Apps不是好主意。他們然后向業務用戶展示其他的安全選項,如公司批準的EMC公司的Documentum系統。
Daly說:“我們要遵守ITAR [武器貿易條例中的國際交通]和其他法規,因此我們可以看到正上傳文檔和、信息和其他的東西到Google的人的位置,并且我們需要向人們展示正確的做法。”
Raytheon正轉移到私有云,為此建立了聯邦身份管理系統。這意味著,Raytheon公司將驗證它自己的員工,但加入開發項目的公司將負責它們自己的身份驗證。
這聽起來簡單,但事實并非如此。Daly說:“我們必須在我們之間達成法律協議,并且讓我們的[云]開發伙伴說:‘好吧,如果我們要檢查身份,你將以同樣的方式檢查身份’,因為并不總是如此。”
遏制風險是在私有云背后的想法,但即使在一個私有云社區,企業也需要處理用戶的隔離、權限劃分、登錄和取消配置。Daly說:“你真的需要知道你最終的邊界,以最小化風險。我們并不需要地球上的每個人都有機會參加我們計劃的云服務,因此物理安全和更多傳統的IT安全防火墻規則是非常重要的。”
然而,這些預防措施也并不沒有合規。Gartner公司的研究副總裁Chris Wolf說:“廠商談跟隨用戶[通過聯邦身份]的跟隨我(follow-me)數據,采用加密技術將數據分散到不同的地方,但CIO們需要思考的是在云中的跟隨我的規定。有時敏感數據不能跨越邊界。”
位于馬薩諸塞州薩德伯里的SystemExperts公司的副總裁Richard E. Mackey說,企業開始考慮部署圍繞云服務的安全性實踐之前,它應該問“外包應用程序用作什么?”和“誰將要使用它?”他說:“當有人稱之為云計算時,許多變量決定你的安全性是完全不同的,這取決于您要部署在哪一種模式上:私有云、軟件即服務(Software as a Service)、基礎設施即服務(Infrastructure as a Service)還是平臺即服務(Platform as a Service)。
受惠于云提供商的安全實踐
選擇一家云提供商類似于與其結婚,因為客戶使用提供商確定的系統和安全政策。
企業如何監控用戶對虛擬云計算服務的訪問,取決于云提供商為其提供的接口。Mackey說:“一個請求回來并擊中你的網絡之前,[云提供商]如何確保用戶是真正的用戶?另一種情況是,一些服務允許您使用您的谷歌或Facebook帳戶登錄。這樣不直接經過[活動目錄],除非你這樣設計它。”
紐約人壽RPS的Ramasamy可以考慮為像電子郵件和Web服務這樣的非關鍵服務尋找云供應商,他說,但他想知道云提供商是否將為公司搭建一個私有云,在私有云中,沒有其他人能夠進入該環境。如果環境被共享,資源如何被共享,且誰可能靠近相鄰的資源集?提供商通過了什么安全審計,遵循國際安全委托授權的哪一部分?
Raytheon公司的Daly說,合同談判期間的靈活性意愿將成為他的公司選擇云供應商的一個決定性的因素。他說:“我不希望必須告訴[業務部門],他們不能外包的東西,因為如果我們這樣做,我們將失去保護,所以我要確保如果我們需要,我們可以[與提供商一起]改變我們的密碼復雜性,或把我們密碼改到356位。當你轉向云安全時,靈活性將是合同管理的一個巨大的元素。”
還有一點要說明的:如果一個企業要其數據安全托管于別人,它需要有一種方式可以測量該環境安全性能。Daly說:“如果供應商不讓你這樣做,你可能不希望與他們達成協定。”
京公網安備 11010502049343號