回顧即將過去的2013年��,企業(yè)越來(lái)越多地開始使用云計(jì)算服務(wù)�,但是云計(jì)算的安全問題仍然是企業(yè)部署這些服務(wù)的最大障礙���。對(duì)于大多數(shù)行業(yè)而言��,云服務(wù)已經(jīng)成為企業(yè)基礎(chǔ)設(shè)施的一部分���,很多員工在沒有經(jīng)過IT部門批準(zhǔn)就已經(jīng)部署了云服務(wù)。例如云服務(wù)評(píng)估公司Skyhigh Networks增加了約500項(xiàng)云服務(wù)�����。
Skyhigh Networks首席執(zhí)行官兼聯(lián)合創(chuàng)始人Rajiv Gupta表示:“員工使用云服務(wù)幾乎沒有評(píng)估這些服務(wù)的風(fēng)險(xiǎn)����。”出于這個(gè)原因���,在2014年,安全要求將會(huì)成為企業(yè)的核心問題����,近一半的IT經(jīng)理都關(guān)心其云資源的安全性,而35%的人認(rèn)為云安全要優(yōu)于企業(yè)內(nèi)部部署����。其中一個(gè)原因是:很多云供應(yīng)商未能解決其客戶關(guān)心的問題。
安全服務(wù)供應(yīng)商Sage Data Security公司總裁Charles Burckmyer稱其客戶經(jīng)常通過他們?cè)u(píng)估第三方云服務(wù)的安全性��。他表示��,“客戶需要建立一個(gè)結(jié)構(gòu)化的方法來(lái)與云供應(yīng)商合作���,并要有一個(gè)程序來(lái)創(chuàng)建被允許的例外情況����、分配風(fēng)險(xiǎn)和緩解這種風(fēng)險(xiǎn)��,對(duì)于大多數(shù)客戶而言,圍繞云服務(wù)的安全性是非常重要的�。”
通過與其云供應(yīng)商進(jìn)行溝通,企業(yè)客戶可以創(chuàng)建一個(gè)安全的混合基礎(chǔ)設(shè)施��。下面是企業(yè)應(yīng)該與云供應(yīng)商討論的五個(gè)問題:
1. 明確安全責(zé)任
云服務(wù)供應(yīng)商繼續(xù)將保護(hù)數(shù)據(jù)的責(zé)任放在客戶身上��,而很多客戶認(rèn)為云服務(wù)應(yīng)該對(duì)數(shù)據(jù)承擔(dān)責(zé)任�。與前幾年相比�����,在2013年���,這種期望差距有所縮小�,但根據(jù)Ponemon研究公司的調(diào)查顯示����,超過三分之一的客戶仍然期望其軟件即服務(wù)供應(yīng)商保護(hù)應(yīng)用程序和數(shù)據(jù)的安全。只有8%的企業(yè)通過其信息技術(shù)和安全團(tuán)隊(duì)來(lái)評(píng)估應(yīng)用程序的安全性�。
Sage Data Security的Burckmyer表示,雖然很多行業(yè)已經(jīng)轉(zhuǎn)移到云計(jì)算�����,但一些安全意識(shí)較強(qiáng)的行業(yè)和那些需要遵守法規(guī)的行業(yè)則止步不前,因?yàn)樵乒⿷?yīng)商沒有明確其風(fēng)險(xiǎn)�����。
他表示�����,“云供應(yīng)商盡職調(diào)查�、了解客戶的責(zé)任以及了解你的供應(yīng)商將如何支持你履行你的職責(zé),都是非常必要的話題��,從監(jiān)管和安全的角度來(lái)看�,轉(zhuǎn)移到云計(jì)算的過程一直沒有很明確,因?yàn)楹芏喙⿷?yīng)商做的還不夠�����。”
2.構(gòu)建能夠提供有意義日志數(shù)據(jù)的系統(tǒng)
越來(lái)越多的企業(yè)想要收集關(guān)于其數(shù)據(jù)和應(yīng)用程序在云中的安全信息��。然而���,很多云供應(yīng)商沒有提供詳細(xì)的日志文件�,或者不能完全分離一個(gè)客戶與另一個(gè)客戶的事件信息���。
“我們需要制定默認(rèn)的標(biāo)準(zhǔn)做法����,即有一定量的日志信息可以主動(dòng)提供給所有需要追蹤的企業(yè)來(lái)進(jìn)行各種分析,”云安全聯(lián)盟首席執(zhí)行官Jim Reavis表示����,“日志文件一直是癥結(jié)所在����。”
對(duì)管理訪問日志保持審計(jì)是非常重要的,但大多數(shù)小型云服務(wù)沒有提供這種信息����。
3. 加密應(yīng)該更普遍
企業(yè)不僅要求云中終端到終端加密,而且越來(lái)越多地要求云供應(yīng)商允許他們?cè)趯?shù)據(jù)轉(zhuǎn)移到云中前�,在企業(yè)內(nèi)部加密數(shù)據(jù)。
云服務(wù)管理公司Netskope首席執(zhí)行官Sanjay Ber表示���,云供應(yīng)商不僅要與客戶合作�,而且要制定強(qiáng)大的加密解決方案���,以讓企業(yè)確保其數(shù)據(jù)的安全性�����,同時(shí)允許保留一些功能���。
Beri說���,“作為應(yīng)用程序供應(yīng)商,加密應(yīng)該是他們可以比任何人都做得更好的事情����,沒有人比他們更了解應(yīng)用程序,只要他們將密鑰交給第三方管理�,很多客戶都會(huì)很高興。”
4. 通知用戶異常情況
如果攻擊者獲取了賬戶信息��,加密將不足以保護(hù)客戶的數(shù)據(jù)�。出于這個(gè)原因,云供應(yīng)商還必須部署良好的異常檢測(cè)系統(tǒng)�����,并與客戶共享這些系統(tǒng)的信息和審計(jì)記錄����。Gupta表示:“你需要所有這些不同的工具來(lái)確保云供應(yīng)商滿足客戶的需求�����,這是一種分層的辦法���。”
5. 如何保護(hù)從第三方的訪問
雖然云供應(yīng)商受到其所在國(guó)家以及數(shù)字所在國(guó)家的監(jiān)管,由美國(guó)國(guó)家安全局和其他國(guó)家情報(bào)局進(jìn)行的大量數(shù)據(jù)收集工作讓企業(yè)越來(lái)越多地開始詢問云供應(yīng)商��,誰(shuí)在請(qǐng)求數(shù)據(jù)���、頻率如何,以及供應(yīng)商是否實(shí)現(xiàn)這些國(guó)家的請(qǐng)求等��。
CSA的Reavis表示���,“很顯然�����,供應(yīng)商需要讓客戶了解他們是如何管理和處理信息請(qǐng)求����,供應(yīng)商還沒有開始看到����,他們需要對(duì)政府的請(qǐng)求敬而遠(yuǎn)之��。”
這種明確需要延伸到信息的所有權(quán)���,云供應(yīng)商需要強(qiáng)調(diào)其客戶仍然對(duì)這些數(shù)據(jù)擁有所有權(quán),并盡可能明確供應(yīng)商對(duì)數(shù)據(jù)的使用權(quán)�。
