從內部基礎架構轉移至公有云存在風險,但是潛在的回報卻非常巨大。一些人不使用公有云完全是因為他們認為云安全并不可信。云反對者的立場未免過于簡單,很容易被擊敗。
云反對者說你應該將虛擬機至于云外,因為云安全問題制約了他們的業務。更糟的是,云反對者有關虛擬機安全前途暗淡的描述可能會深入IT管理員的內心。
對云安全過于嚴格的立場漸漸破壞了從虛擬環境遷入云的潛在優勢,這些優勢包括了計算資源富有彈性以及由規模經濟和隨時隨地進行訪問(或者說幾乎可以隨處訪問)所帶來的成本降低。
云反對者有關虛擬機安全的論斷有時看似理直氣壯。“一旦將虛擬機放入云中,便放棄了數據的所有權”是一個很常見的有關云安全的論斷。另一個令所有IT人員內心感到擔憂的就是:“云意味著失業。”但是對云安全的關注通常只是對你所不了解的事感到害怕。
你可以采用以下觀點反駁云反對者的論斷。
論點1:云并不適用于所有的虛擬機
云反對者基于他們自己的立場做了個錯誤的假設:云計算是一個非此即彼的命題。
他們擔心虛擬機數據的安全性,不能夠保護敏感的公司資產,其他人可能會窺探他們的數據存儲。但是這一論斷假設所有的虛擬機必須被同等對待,這意味著所有的虛擬數據必須被同等地保護,而這絕非事實。
與法規遵從性及數據安全性相關的最佳實踐文檔建議創建安全島嶼,從邏輯上將敏感的數據與不必在意的數據進行隔離。
采用這種方式對數據進行隔離,對服務器及服務進行了合乎邏輯的劃分,幫助你決定哪些虛擬機在云中運行是有意義的。不必鉆研與加密與授權認證有關的技術性會談,你就可以直接使云反對者對分離敏感虛擬機數據的異議變得無效。
換句話說,如果你不關心某些虛擬機中的數據,那么有關云安全的論斷都是沒有實際意義的。
論點2:安全技術同樣適用于云
就敏感的虛擬機數據而言,實際上虛擬機安全技術已經在用于保護云中的虛擬機了。
保護基于云的虛擬機的技術(加密和登錄身份驗證),在數據傳輸途中(除了傳輸安全性以外,還有主機和基于hypervisor的防火墻)乃至在處理過程中(借助hypervisor自身的邏輯功能)都已存在。
你可以輕松地將一個虛擬機交付給云提供方,啟用該虛擬機的防火墻,只允許其與你所在的網絡進行通信,為虛擬機的安全提供合理的保證。以Kerberos協議為例,它能夠防止用戶登錄到域控制器中,防止云供應商窺探你的虛擬機。諸如保護虛擬基礎設施中虛擬機數據的高級加密標準同樣適用于存儲在云中的數據。
與此同時,專門用于虛擬環境的虛擬機安全工具已經可以擴展到在云中使用。以VMware的vShield安全平臺為例,它同時在虛擬環境和云環境中提供了防火墻,加密,安全性,邊界保護以及反惡意軟件。
論點3:你可以建立法規遵從性聯盟
云反對者假定你不知道什么可能會傷害到你的虛擬機。你如何得知云提供方正在恰當地履行對你的約定?你如何得知云提供方沒有將你的虛擬機遷移到某個令人意想不到的、臭名昭著的國家?你如何確定提供方在遵循保護策略,尤其是當你不被允許直接和他們進行確認時?
實際上有很多方法可以確保法規遵從性。并不需要直接對法規遵從性進行確認,正如證券交易委員會不會直接對所有公司進行審計一樣。他們依靠的是可信的第三方比如會計事務所及其審計員。
信息技術產業已經開始進行適當的聯邦審計以確保云提供方完成了他們承諾提供的相應級別的虛擬機安全性。審計標準說明書70以及最新發布的鑒證業務標準說明書16使用受信的第三方與已經發布的流程相結合以完成聯邦審計任務。國際標準化組織的ISO 9001標準定義了策略與策略遵從性。這些策略同時還為問題整治提供了法律基礎,涉及的問題整治甚至遠遠超出了內部安全辦公人員飛出辦公大樓外訪問個人網站。
將這些審計功能與當今的虛擬機安全技術相結合,你就已經走在通往堅實的云安全的路上了。
云中無安全的論斷失敗是因為論斷本身在技術上并不是必要的。云不只是個技術;云是一種服務,因此云安全不只包括了簡單的身份驗證,授權,加密以及訪問控制。你必須對云環境進行規劃,提供恰當的虛擬機以確保安全性,同時要了解第三方的云安全審計。
采用非技術的方法確保虛擬機數據的安全性通常比嚴格地關注比特與字節更加重要。
京公網安備 11010502049343號