云計算標準現狀:三大模式和四大配置
作者:Cloud Security Alliance聯合創始人之一、安全咨詢師Jim Reavis
“云計算”既可能是一個被炒作過頭的、注定讓人費解的術語,也可能是未來信息技術最美妙的前景,這完全取決于您談話的對象。盡管當前對于“云”這個概念確實存在著太多的炒作,我們仍然堅信時間會證明這些宣傳的價值。那些被委以制訂IT策略或保護本機構的信息資產這類重任的人員,有責任對云計算采取謹慎使用的態度。不過這個云技術和其商業模式的春秋時代,也為您開啟了一扇至關重要的機會之門,供您制訂從“可信云”中獲取最大利益的策略。
要理解為什么云計算是一個既意義重大,又混亂不堪的趨勢,我們必須對云計算的定義有一個最基本的了解。從最高層的意義上講,云計算代表了從以基本建設費用購買軟硬件進行過渡計算,到按照需求以營業預算來“租用”工具式服務這一不可阻擋的轉變。云計算的內涵在于,多余的計算資源能夠進行動態分配,因此企業可以通過只購買那些需要的計算服務來杜絕浪費。這種動態作用提供了全新概念的業務靈活性,因為隨著時間的推移,企業將能夠把“即時生產”的概念應用于計算工作。事實上這還算不上一套理論,但一些只能在傳統計算方面進行有限投入的中小型企業已經積極采用了云計算,并且對于較大的企業形成了競爭壓力,迫使他們同樣采取云計算方法。
國家標準與技術研究院(NIST)制訂了一套廣泛采用的術語用于描述云計算的各方面內容。 NIST針對“云”定義了三大交付模式,稱為S-P-I模式:
軟件即服務(SaaS),即將整個商業應用作為一項服務來提供;
平臺即服務(PaaS),允許在云中進行快速應用開發;
架構即服務(IaaS),即將簡單操作系統(OS)和儲存功能作為一項服務來提供。
NIST進一步定義了云計算的四大配置:
公共云,即面向廣泛客戶群的互聯網接入服務;
私有云,針對單個機構進行配置;
社區云,針對供應鏈這類有限數量的,彼此相關的組織設計;
混合云,以上三種配置模式的任意組合。
為了將云計算作為一種低成本工具來提供,云服務供應商必須掌握一些管理方面的問題以形成規模經濟。諸如虛擬化這類技術可以用來獲取一切可能的CPU周期和空余磁盤空間。此外還設計了一些新的管理工具來實現客戶供應和資源分配的自動化。為了創建高效的規模經濟,將不可避免地導致許多客戶的數據和其他資產在共享的硬件平臺上相互混雜,而這些數據和資產只是用一些新的,往往未經驗證的邏輯控制方法進行區分。另一個主要的,可能也是最為深遠的影響是,實現這種經濟效益的新技術架構本身就是一種新的應用開發平臺。在計算中很少出現重大的平臺轉換。軟件在云中得到革新,而新的軟件則革新了商業運作方式。
盡管很難反駁這種云計算的趨勢,我們仍有理由對移植云計算的時機選擇提出質疑,尤其是針對一些非常敏感的信息和關鍵任務過程。這往往意味著某個機構在風險管理實踐的指導下,按照一套獨特的標準在一段時期內作出一系列的決策。然而還有一種情況是,外部因素促使一個機構作出這類決策。比如某個生意伙伴要求云計算。毫無疑問的是,某些時候一些軟件公司會促使或者強烈建議他們的客戶支持云服務這一更為經濟的平臺。新的創新應用將只存在于云中。基于以上原因,首席信息安全官們應當努力了解這些問題以及這些問題同他們工作之間的聯系。首席信息安全官們不僅能夠制訂確保云應用的策略,更重要的是,他們能夠真正地影響到云計算產業的走向和云服務供應商所提供的各種功能。僅僅坐等云技術的成熟是遠遠不夠的。同我們交流過的許多首席信息安全官都在花時間讓云服務供應商熟悉他們的企業級要求,如服務水平協議(SLAs),法規遵守問題,特定地區的監管問題等。云服務供應商們現在就把企業功能集成到服務中,比到企業完成轉變以后再去修改這些服務要容易的多。
以下信息資源能夠協助您確定云計算策略。歐洲網絡及信息安全局(ENISA)制定了“云計算風險評估”規范,耶律哥論壇有“云立方計算模式”,而云安全聯盟(CSA)發布了“云計算重點關注區域安全指導”,涵蓋13個關注的領域。幾乎所有的案例中都包括以下關鍵問題:
◆法規遵守:云服務供應商保證使客戶遵守各種規定和標準,如PCI/DSS、HIPAA、違約情況通報方面的法規以及歐盟數據保密法令等等。
◆數據管制:確保客戶數據有適當的技術防護措施,得到合法的保護,并能夠按照客戶要求供客戶使用或返還給客戶。
◆可移植性及互用性:確保客戶對包括私有云在內的任何云的投入均能移植到其他云并能與其他云實現最大程度的互用,以保護客戶的投入并確保關鍵服務的可用性。
◆身份和接入管理:允許客戶在SaaS服務供應商中的成熟的IAM框架與其他云服務之間作出平衡,以便在遵守法規的同時保持廣泛的系統和應用控制功能。
針對各個云服務供應商的獨立認證是顯示企業遵守各種安全要求的必然結果。各種機構永遠都有必要針對云服務供應商規定適當的行為準則并進行嚴格的供應商管理。不過要以適當頻率的、極其仔細的審計措施來完全消減所有風險并不現實,供應商也沒有能力接待所有客戶審計員。適當的認證能夠從某種程度上保證云服務供應商方面能夠有一個合理的安全基線,同時反映客戶必須證明其遵守的各種規定。從云服務供應商的角度來看,在數量較少,但較為嚴格的認證上進行投資,比響應大量的審計要求要劃算一些。如果某個機構確實需要進行審計,則專門對經過認證的供應商進行審計會更加高效和簡潔,因為這往往能夠縮小審計的范圍。許多首席信息安全官都越來越關注一些設立上述認證的標準機構,他們認為這些機構目前過度為以供應商為中心。
今天,首席信息安全官們不但有機會去調整那些適用于云服務供應商的標準和認證,還確保這些標準和認證的特點能夠滿足他們各自工作的要求。事實上云服務供應商也希望去了解商業和法規遵守方面的需求。無論是構建私有云、嘗試使用公共云、甚至是將公共云用于生產應用,首席信息安全官們都不會再有如此好的機會傳達他們的需求并將安全嵌入到云服務中了。
【編輯推薦】
