數(shù)據(jù)安全意指通過一些技術(shù)或者非技術(shù)的方式來保證數(shù)據(jù)的訪問是受到合理控制,并保證數(shù)據(jù)不被人為或者意外的損壞而泄露或更改���。從非技術(shù)角度上來看�����,可以通過法律或者一些規(guī)章制度來保證數(shù)據(jù)的安全性;從技術(shù)的角度上來看�,可以通過防火墻����、入侵檢測、安全配置�、數(shù)據(jù)加密、訪問認(rèn)證�����、權(quán)限控制���、數(shù)據(jù)備份等手段來保證數(shù)據(jù)的安全性。但是隨著堆棧的深入��,事情變得更糟���。談到IaaS�,提供商和用戶之間的安全責(zé)任沒有明確的界線。定義界線的責(zé)任落在客戶身上��。
推廣最佳實(shí)踐和提高云安全培訓(xùn)的組織——云安全聯(lián)盟的執(zhí)行董事Jim Reavis表示:“從治理的視角�����、控制的視角���、管理的視角來看�,讓云租戶或客戶明白這是一個共同的責(zé)任很重要����。”
識別安全缺口 理解安全規(guī)定
為了強(qiáng)調(diào)共同的安全責(zé)任,舉一個事實(shí)����,即由于備受關(guān)注的IaaS問題,如2012年6月的亞馬遜中斷事件�����,不同的組織遭受了不同的后果����。Reavis介紹:“當(dāng)數(shù)據(jù)脫機(jī)時(shí)����,一些組織幾乎倒閉了����,而其它組織卻沒有出現(xiàn)任何停工期。這表明客戶使數(shù)據(jù)處于他們的控制之中���,也同時(shí)控制著他們的命運(yùn)��。”
總部位于弗吉尼亞州的萊斯頓ScienceLogicIT的業(yè)務(wù)管理軟件的提供商�、首席技術(shù)官Antonio Piraino表示��,要實(shí)施適當(dāng)?shù)目刂�,云租戶必須明白哪些地方存在安全漏洞?ldquo;你必須知道你在買什么。一些人比其他人更關(guān)注安全��。”
加州洛杉磯的云計(jì)算風(fēng)險(xiǎn)緩解的顧問兼講師Thomas Trappler表示:“與云中大多數(shù)事物一樣�����,安全也隨供應(yīng)商的不同而不一樣����,”例如,亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)提供“各式各樣的選擇�����,”他說��,“這不只是任何一種AWS服務(wù)��。所以即使是在AWS服務(wù)范圍內(nèi)����,客戶負(fù)責(zé)的內(nèi)容不同,你向亞馬遜付款買東西���,承擔(dān)的責(zé)任也會有所差異���。”
最終,客戶得到他們所想要的�����,Piraino說:“如果你為云服務(wù)買單����,那么你要為額外的安全和額外的正常運(yùn)行時(shí)間和災(zāi)難恢復(fù)支付額外的費(fèi)用�。”
由于(客戶從IaaS提供商采購的)計(jì)算堆棧的不同部分����,安全責(zé)任的劃分進(jìn)一步混淆。Piraino說:“我們正看到IaaS和PaaS之間聯(lián)系更加緊密;從根本上來講����,(IaaS是)一種原始的計(jì)算基礎(chǔ)設(shè)施,”——低于操作系統(tǒng)(OS)����,他解釋說,“最初�����,客戶負(fù)責(zé)配置(虛擬機(jī))����、操作系統(tǒng)、安裝防火墻這類事情����。但是除了原始的虛擬機(jī)��,你可以購買IaaS�?赡軙綆б粋操作系統(tǒng)或者是具有一些應(yīng)用的數(shù)據(jù)庫。你買的越多��,IaaS提供商的責(zé)任就越大���。”
再來看AWS���。例如,“當(dāng)涉及到對AWS部署具有惡意企圖的具體問題時(shí)�,通常的經(jīng)驗(yàn)法則是,堆棧越高�����,負(fù)責(zé)工作負(fù)載或數(shù)據(jù)安全責(zé)任的AWS的能力越低�,”他解釋說,“很簡單��,在設(shè)施和物理基礎(chǔ)設(shè)施層�����,采用AWS的能力和興趣來提供物理安全是最佳的做法,因?yàn)槠漤?xiàng)目大����,但成本很低。”
Piraino補(bǔ)充說:“在網(wǎng)絡(luò)層和虛擬化層����,就沒那么簡單”。對于AWS數(shù)據(jù)中心的數(shù)據(jù)傳輸——區(qū)域與亞馬遜彈性云計(jì)算(EC2)或彈性塊存儲(EBS)技術(shù)之間——由AWS負(fù)責(zé)���。
Piraino說:“同樣��,AWS的工具集Xen系統(tǒng)管理程序負(fù)責(zé)它的基礎(chǔ)設(shè)施即服務(wù)——使云產(chǎn)品中不可缺少的一部分轉(zhuǎn)讓所有權(quán)�,客戶沒有發(fā)言權(quán)�,從而實(shí)現(xiàn)真正意義上的由AWS負(fù)責(zé)”。
培養(yǎng)正確的公共云安全心態(tài)
組織將應(yīng)用程序轉(zhuǎn)移到公共云時(shí)�,模式發(fā)生了轉(zhuǎn)變,Trappler說:“心態(tài)不同���。你思考的方式也必須有所不同��。這似乎是顯而易見的�����,但這很重要��。大家在說���,‘我們從我們所習(xí)慣的——技術(shù)管理的解決方案——再到有人為我們做好的云合同的管理解決方案。我們怎么知道他們所做的就是正確的呢?”
答案是:“總是恰到好處地確認(rèn)并且按照合同履行義務(wù)(提供商)�����,你就能明白他們應(yīng)該關(guān)注什么�,”Trappler說。為此���,了解提供商的基礎(chǔ)設(shè)施哪些部分被注冊和/或?qū)徲?jì)�����。他說:“可能不是整個基礎(chǔ)設(shè)施��。中間通常有多個數(shù)據(jù)中心和點(diǎn)����。”
“合同就是針對提供商責(zé)任與顧客責(zé)任的界線問題,達(dá)成的共識���,”他說�,“你需要一個合同����,來建立關(guān)系條款,對誰做什么達(dá)成共識的條款��。然后要有客戶方的供應(yīng)商管理來維持這種關(guān)系��。”
