當(dāng)一個家庭買車的時候�����, 他們通常都不會從汽車商那里去買兒童座椅去保護家庭中最重要的成員��。 Gartner的副總裁及安全分析師John Fescatore認(rèn)為��, 云安全也與之類似�����,用戶不要指望云服務(wù)商提供的安全功能來保障公司的重要數(shù)字資產(chǎn)��。
那些需要保護的信息�����, 如客戶信息�, 關(guān)鍵任務(wù)應(yīng)用����,企業(yè)級設(shè)備信息等都需要采用不同的安全控制措施來進行保護。 John Fescatore指出���, 在企業(yè)進入云模式后���, 云服務(wù)商提供的安全服務(wù)是可以信賴的�����, 但是對于重要商業(yè)信息以及法規(guī)要求保護的信息來說����,這些安全措施常常是不夠的���。
安全問題目前仍然是企業(yè)邁向云服務(wù)是最大的擔(dān)心����。 不過John Fescatore認(rèn)為有辦法能夠減少企業(yè)的擔(dān)心�。 其中之一就是為重要的云應(yīng)用�, 數(shù)據(jù)或者工作采用特別的安全保護。 比如信用卡行業(yè)的例子�����。 支付卡行業(yè)要求采用所有電子存儲信用卡信息必須采用加密的形式��。有些云服務(wù)商也在他們的云存儲中加入了加密的功能�。 不過�, 企業(yè)還是可以購買很多第三方的加密����, 防DDoS攻擊以及訪問控制的應(yīng)用來專門對信用卡信息進行保護。而且很多這樣的應(yīng)用目前也都是以云的形式提供的��。
目前市場上有很多云安全的產(chǎn)品��, 提供著各種各樣的功能��。 John Fescatore提到了如Zscaler, Websense 或者Cisco的 ScanSafe等產(chǎn)品�。 這些產(chǎn)品如同在用戶和云之間的“網(wǎng)關(guān)”,監(jiān)測進入云的數(shù)據(jù)��,以保證不會有惡意數(shù)據(jù)或者代碼入侵客戶的系統(tǒng)�����。 如果云服務(wù)是用來托管網(wǎng)站��, 也有很多網(wǎng)站保護的產(chǎn)品如:Imperva, CloudFlare甚至Akamai也提供一些類似的網(wǎng)站保護的服務(wù)����。
不過總的來說, John Fescatore認(rèn)為,云安全還應(yīng)該從基本的開始�。 絕大多數(shù)企業(yè)嘗試云服務(wù)是從私有云開始的。 這也是實踐云安全的一個好的起點��。
在私有云中把應(yīng)有的安全做好����, 再逐步過渡到混合云和公共云是一個好的策略。對于保護虛擬環(huán)境免受外部攻擊���, 最重要的是要有相關(guān)的流程�����, 以及對系統(tǒng)�, 控制的變化以及系統(tǒng)漏洞的了解��。 這也包括對架構(gòu)����, 以及對賬戶�, 域名以及虛擬設(shè)備的管理等等。
向私有云以外演進通常都會包括一些公共的云服務(wù)�����。 多數(shù)企業(yè)會把一些非關(guān)鍵任務(wù)的應(yīng)用, 如測試���,開發(fā)等放到公共云上���。 不是所有的信息都需要最大限度的保護。 應(yīng)該保護那些敏感信息而對非敏感信息可以采用一般性的安全措施�。
John Fescatore認(rèn)為, 云安全的重點應(yīng)該在于保護的流程�����。 應(yīng)該建立云安全的規(guī)則����, 在云服務(wù)的實施過程中采納并遵守這些規(guī)則。一些漏洞往往是由于規(guī)則的不統(tǒng)一或者安全控制沒有執(zhí)行到位造成的���。 John Fescatore說“我們還沒有看到針對真正對云基礎(chǔ)設(shè)施或者虛擬層進行的攻擊�,今天很多黑客實際上是找那些容易下手的采用云服務(wù)的企業(yè)���。“
好在企業(yè)還是有很多不同的云安全選擇的��。 對于一般性的安全要求�, 很多云服務(wù)商, 不管是基礎(chǔ)設(shè)施還是SaaS的�, 本身就具備一定的安全功能, 如亞馬遜的AWS就是遵循FISMA標(biāo)準(zhǔn)�����。 另一個云服務(wù)商FireHost遵循PCI標(biāo)準(zhǔn)�����。 John Fescatore的建議是�, 企業(yè)尋找云服務(wù)商是,應(yīng)該看它是否具有ISO27001���, SOC2或者SOC3認(rèn)證�����。 對于一般性安全需求以外的��, 對敏感信息的保護, 市場上有很多第三方的產(chǎn)品或者服務(wù)可以選擇���。
