安全是云計算中的主要問題
然而云安全是什么呢?應(yīng)該如何保障云計算安全呢?我們聯(lián)系近幾年同云計算安全一同被我國社會公眾關(guān)注的另一熱點——食品安全問題�����,以“魚安全”為對照淺談下“云安全”問題����。
假設(shè)打算家里做一餐“魚宴”招待客人��,您一定會要保障“魚安全”;看���,這和我們保障“云安全”是多么的類似!那么在這個“食品衛(wèi)生問題”這類安全威脅橫行的時代,如何保證“魚安全”呢?《CSA:云計算關(guān)鍵領(lǐng)域安全指南V3.0》對各種云服務(wù)和部署模式中安全問題的13個域歸類為治理域和運行域�,治理域范疇很寬,解決云計算環(huán)境的戰(zhàn)略和策略��,而運行域則關(guān)注于更戰(zhàn)術(shù)性的安全考慮以及在架構(gòu)內(nèi)的實現(xiàn)�。接下來,我們按照這個歸類談?wù)勅绾卧谥卫碛蚝瓦\行域做到“魚安全”���。
首先���,我們需要購買一條魚。想要得到一條健康的魚�����,我們需要從正規(guī)的魚攤/超市這樣的渠道去采購��,這里就做到“魚安全”的第一步���,類似云安全的治理和企業(yè)風(fēng)險管理��,良好開發(fā)的信息安全治理過程是有效地治理和企業(yè)風(fēng)險管理的前提;確保在任何云部署模型中都有適當(dāng)?shù)男畔踩灤┯谛畔⒐?yīng)鏈(云計算服務(wù)的供應(yīng)商�����、用戶�����、第三方供應(yīng)商)���。
接著我們來檢查一下食品的安全標(biāo)簽,如QS標(biāo)志��、無公害農(nóng)產(chǎn)品標(biāo)志等����,看看這條魚是不是有品質(zhì)保證的。食品安全標(biāo)簽就是魚供應(yīng)商向我們做的法律性安全保證�����。這步就是云安全的合約和電子證據(jù)發(fā)現(xiàn)����,針對云計算提供商提供合同式的安全保障����。這點針對云中數(shù)據(jù)遷移��、相關(guān)的云服務(wù)的協(xié)定����、證據(jù)發(fā)現(xiàn)等主要問題,從法律層次保障了云安全�����,并提供有力的監(jiān)管�。
做到以上兩步還是不夠的,我們還得確認(rèn)食品加工過程的作業(yè)安全是否處于監(jiān)管狀態(tài)之下��,類似于云安全中的合規(guī)和審計管理�����。合規(guī)和審計管理是通過執(zhí)行安全策略和相關(guān)法規(guī)來保持組織自身的合規(guī)性����,為遷移到云的用戶和服務(wù)提供商提供指導(dǎo)���,完成云安全保障中的一環(huán)�����。
好的�����,我們已經(jīng)找到一條健康的魚了��,這時就需要保證魚肉保鮮安全了��。對照云安全的信息管理和數(shù)據(jù)安全域保護云中系統(tǒng)和應(yīng)用的基礎(chǔ)數(shù)據(jù)安全的方法��,“魚安全”這一步需要新策略和技術(shù)架構(gòu)�����,最好以魚肉安全周期(數(shù)據(jù)安全生命周期)為基礎(chǔ)判斷當(dāng)前應(yīng)用什么保鮮方法(安全策略)使用什么保鮮技術(shù)(云安全計術(shù)架構(gòu))來確保魚肉新鮮���。
現(xiàn)在該把魚帶回家了�,我們要能維持魚在運輸途中的安全,確保魚在不同地點能保質(zhì)的傳輸���。這一點就像云安全中的互操作性和可移植性�。云計算對數(shù)據(jù)的交換和計算的互動要求較高�����,這就需要有高可移植性和互操作性的保證以使環(huán)境變更時能維護安全控制的一致性����,云服務(wù)提供商需具備通用、標(biāo)準(zhǔn)��、開放的接口及協(xié)議����。
魚安全的“治理域”
以上就是魚安全的“治理域”了,下面就進入“運行域”的范圍�����。要做一餐“魚宴”招待客人��,簡單來說就是烹飪魚開始啦�。烹飪要求的廚房基礎(chǔ)設(shè)置如廚具�、電����、煤氣,以及為我們時刻反映廚房環(huán)境狀態(tài)設(shè)施���,是任何一個料理過程必不可少的條件。這就相當(dāng)于云安全中傳統(tǒng)安全��、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)�。這里和傳統(tǒng)網(wǎng)絡(luò)安全一樣,是云服務(wù)必不可少的前提條件�����。
我們還需要保證廚房清潔衛(wèi)生��,這是接下來的料理工作長期穩(wěn)定的進行的保障�����,無法想像如何在一個雜亂����、垃圾滿地的廚房里會做出一頓佳肴。類比云安全的數(shù)據(jù)中心運行域,需正確評估提供商的數(shù)據(jù)中心架構(gòu)和運行����,確保系統(tǒng)、數(shù)據(jù)����、網(wǎng)絡(luò)、管理�、部署和人員方面的全方位相互隔離,有助于維持長期的穩(wěn)定性���。
廚房光光整潔是不夠的����,我們通常還會安裝煙霧器�����、定時器����,配備冰箱。這是為了在烹飪時給我們足夠的����、可尋的安全預(yù)警�����,提供應(yīng)急補救�����。這就是云安全的事件響應(yīng)域�����,參照NIST的應(yīng)急處理指南,檢查云計算的特性和各種為事件處理設(shè)置的服務(wù)部署模型���,建立事件響應(yīng)生命周期管理��,充分��、高效的處理云中的安全事件�����。
終于到了下廚的時候了�,我們需要掌握火候,確保魚安全的“應(yīng)用安全”�。在云服務(wù)的所有SaaS、PaaS�、IaaS的所有層面,云計算對應(yīng)用程序的生命周期安全都產(chǎn)生廣泛的影響�。云安全的應(yīng)用安全域保護在云中運行或即將開發(fā)的應(yīng)用(包括確保將某個應(yīng)用遷移到或設(shè)計進云中運行是否適當(dāng),以及決定應(yīng)遷移到什么類型的云平臺中去)���。
一條魚是否做的出眾���,很大程度取決于您擁有的獨特秘方。做好魚安全的其中重要一步也是保守好這個秘方�����。與此相似�,云安全中采用加密和密鑰管理來應(yīng)對云用戶和提供商都需要避免數(shù)據(jù)丟失和被竊的問題。由于云環(huán)境由多個“租戶”共享�����,數(shù)據(jù)及應(yīng)用的有效隔離���、在內(nèi)部傳輸及靜止?fàn)顟B(tài)的安全防護也依賴于加密和密鑰管理����。
另外,由誰來烹飪魚這可是一個大問題����。您可以親自下廚或是指定一個信得過的好友來進行。您得對廚師進行審核����,如同云安全中的身份、權(quán)限和訪問管理一樣����,判斷廚師的身份是否真實、他是否有烹調(diào)魚的權(quán)限���,同時他進入廚房也需要得到您的批準(zhǔn)。無論如何����,在準(zhǔn)備好一切后,您希望造訪廚房的是一個好廚子而不是一只饑腸轆轆的野貓�。
到此為止,魚已經(jīng)做好了�,但一個“魚宴”還需要一桌好配菜���,組合在一起才是“宴”。正如云安全的虛擬化域��,由于虛擬化作為核心技術(shù)之一給云計算帶來巨大好處的同時����,也帶來了一系列嚴(yán)重的網(wǎng)絡(luò)安全防護問題(操作系統(tǒng)虛擬化、多租戶�、VM 隔離、VM共居���、hypervisor脆弱性等)�。我們應(yīng)該特別注重系統(tǒng)和硬件虛擬化相關(guān)的安全問題����,這樣才是做到了一個完整的云安全。
魚安全的“運行域”
最后�����,以上所有的魚安全控制的措施可以看成一個“魚安全保證”的服務(wù)(看看我們云安全的Security as a Service服務(wù))����。您可以直接訂制這個服務(wù)�����,比如說找個專業(yè)的酒店(我們的云安全提供商)直接為您做一個盛大又安全的“魚宴”�。
文章到了這里就要結(jié)束了����。我們類比一場“魚宴”中的“魚安全”問題,對云計算的“云安全”進行了簡要的介紹��,希望您能對云安全有個大體的了解����。在云計算興起的當(dāng)下,如同做好“魚安全”工作一樣���,做好“云安全”的工作�,在新興環(huán)境下大展鴻途!(作者:楊育斌��、程麗明)
