• 信譽(yù)認(rèn)證(如 Verisign和 GeoTrust認(rèn)證等0)
• 多個(gè)信譽(yù)認(rèn)證(Verisgn、McAffee和BBB等)
• 可信的公司名
• 廣泛宣傳
• 媒體推薦
• 大量用戶群體
我認(rèn)為以上條件基本可以確定某個(gè)網(wǎng)站是否能夠保護(hù)客戶的重要信息。通常用戶會(huì)根據(jù)自己的判斷而信任某個(gè)網(wǎng)站能夠保護(hù)他們的數(shù)據(jù)�,即使不知道網(wǎng)站是如何保護(hù)他們的數(shù)據(jù)或者存儲(chǔ)位置�。但是這樣真的安全么?
位于加拿大安大略省PerspecSys公司的CEO兼CTO Terry Woloszyn:
當(dāng)有人想要采用基于云計(jì)算的應(yīng)用程序時(shí),通常他們需要確保這幾個(gè)因素:隱私性�����、存儲(chǔ)位置和安全(PRS)����。安全方面主要分為兩類:云計(jì)算供應(yīng)商提供的數(shù)據(jù)安全保護(hù)以及云計(jì)算供應(yīng)商防火墻與用戶驗(yàn)證之前的數(shù)據(jù)安全��。因此��,在考慮什么是云計(jì)算問題之前��,你需要建立一個(gè)分類����。
Wikibon Project的合作伙伴兼主要研究負(fù)責(zé)人 Michael Versace:
有些人把云計(jì)算安全描繪得過于復(fù)雜���。安全是基于風(fēng)險(xiǎn)的規(guī)則,用戶首先需要理解云服務(wù)中存在的固有風(fēng)險(xiǎn)����,然后部署最佳的企業(yè)化的/管理/業(yè)務(wù)流程和技術(shù)控制來管理風(fēng)險(xiǎn),將風(fēng)險(xiǎn)控制到可接受的級別����。
網(wǎng)絡(luò)安全顧問George Moraetes:
云計(jì)算是一種業(yè)務(wù)概念,俗稱為SaaS(軟件即服務(wù))��、PaaS(平臺(tái)即服務(wù))和IaaS(基礎(chǔ)設(shè)施即服務(wù))�。實(shí)際上,它是指將數(shù)據(jù)中心外包給第三方供應(yīng) 商(自詡其產(chǎn)品是最佳最安全的產(chǎn)品)��,問題在于�,在云計(jì)算中將每個(gè)系統(tǒng)都認(rèn)為是可靠的,而實(shí)際上沒有百分之百安全的系統(tǒng)��。
首先我們來分析下這個(gè)“云”�����,將它作為向企業(yè)提供計(jì)算服務(wù)的外包數(shù)據(jù)中心。如果提供的服務(wù)是指軟件��、平臺(tái)或者基礎(chǔ)設(shè)施���,那么保護(hù)這些特殊的服務(wù)的安全性就 應(yīng)該與保護(hù)遵守行業(yè)最佳做法的非外包服務(wù)一樣��,但是實(shí)際情況是這樣嗎?企業(yè)真的能夠控制外包出去的數(shù)據(jù)安全么?安全本身可以作為保護(hù)數(shù)據(jù)和交易而外包出去 嗎?企業(yè)能夠向供應(yīng)商解說清楚如何保護(hù)他們的數(shù)據(jù)么?當(dāng)數(shù)據(jù)外包給第三方后,誰持有這些數(shù)據(jù)?數(shù)據(jù)存儲(chǔ)在哪里?誰控制這些數(shù)據(jù)?這些都是涉及數(shù)據(jù)違規(guī)法律 責(zé)任問題的�。
其實(shí)云計(jì)算可能造成的安全損失要遠(yuǎn)遠(yuǎn)超過部署本地服務(wù)的成本,從法律角度來看���,最好能夠確保那些鼓吹能夠運(yùn)行其數(shù)據(jù)中心保護(hù)數(shù)據(jù)的外包第三方能夠真正履行 其承諾�。
我認(rèn)為云安全應(yīng)該是這樣:能夠確保企業(yè)傳統(tǒng)數(shù)據(jù)中心所部署的技術(shù)和操作在第三方供應(yīng)商也有�����。而不屬于云安全的包括合法性�����、最佳做法和行業(yè)標(biāo)準(zhǔn)�,這些控制安 全框架(已經(jīng)成為熱門問題)的問題,這些方面極具吸引力�,因?yàn)槌杀締栴}。
KVH 公司的信息安全經(jīng)理Venkatesh Ravindran :
眾所周知��,基礎(chǔ)安全是以可用性����、完整性和保密性為核心的����,云安全必須解決這些基本的安全問題。換個(gè)角度看主要包括以下安全問題:
• 網(wǎng)絡(luò)外圍安全(由云計(jì)算安全供應(yīng)商部署的外圍安全)
• 網(wǎng)絡(luò)通信安全(客戶與云安全供應(yīng)商之間的通信)
• 應(yīng)用程序/平臺(tái)安全(這是最具挑戰(zhàn)的部分�����,因?yàn)榇蟛糠謶?yīng)用程序或者平臺(tái)都具有多重性)
• 數(shù)據(jù)安全
• 法律法規(guī)與合規(guī)
Maricom系統(tǒng)公司的主要架構(gòu)師/CSO Wing Ko:
我同意George Moraetes的觀點(diǎn)���,云計(jì)算只是數(shù)據(jù)中心外包�。雖然不同模式(*aaS)�,使用方式以及供應(yīng)商如何部署服務(wù)等����,云安全都要比傳統(tǒng)數(shù)據(jù)中心外包更復(fù)雜��。
話雖如此���,我也同意Mike Versace的說法,我們應(yīng)該提供一些基本的辦法來幫助大家的了解并提出一些問題�����,我一直以來使用的方法就是RAIN(如下)��,這是屢試不爽的規(guī)劃和分 析方法:
• (R)equirement要求:了解你的業(yè)務(wù)需求�����,從中歸類出技術(shù)需求���、非技術(shù)需求��、管理要求和安全要求等����。
• (A)nalysis分析:從你的業(yè)務(wù)要求出發(fā)�����,對你想要或者能夠外包的任務(wù)或者服務(wù)進(jìn)行分析�����,并且明確那些任務(wù)是由哪些人負(fù)責(zé)�����,以免增加后期工作難度��。 然后進(jìn)行風(fēng)險(xiǎn)分析�����,特別是從云連接�、多重性、本地?cái)?shù)據(jù)隱私法規(guī)和業(yè)務(wù)連續(xù)性來考慮���。
• (I)nterface界面:明確界定系統(tǒng)和用戶界面���。誰負(fù)責(zé)聯(lián)系供應(yīng)商或者如何向供應(yīng)商咨詢問題?使用哪些API或者網(wǎng)頁?如何使用?返回的結(jié)果是怎樣 的?界面/接觸點(diǎn)越多,數(shù)據(jù)泄漏發(fā)生的幾率就越高
• e(N)sure確保:核查和確保服務(wù)是根據(jù)條款來執(zhí)行的�。測試供應(yīng)商發(fā)送的結(jié)果以確保是以你期望的格式發(fā)送的,審計(jì)或者筆測服務(wù)�,執(zhí)行供應(yīng)商運(yùn)行的操作
企業(yè)越來越依賴于云基礎(chǔ)設(shè)施以及作為互聯(lián)網(wǎng)服務(wù)而提供的虛擬資源,但是安全專家擔(dān)心��,很多企業(yè)在投入云計(jì)算之前都沒有考慮風(fēng)險(xiǎn)問題����。
