從身份驗證角度談云服務
很多IT人員都認為公共云服務不安全,無法確保關鍵程序工作負載和數(shù)據(jù)的安全。但是醫(yī)療信息供應商Schumacher集團首席信息官Doug Menefee卻不這么認為。
“使用云服務確實存在風險,但是任何事情都是有風險的,我們必須將商業(yè)利益與這些風險進行權衡。”Menefee確實也說到做到,現(xiàn)在Schumache集團的業(yè)務數(shù)據(jù)有85%位于公共云服務內(nèi)部。
Menefee并不認為自己是云服務倡導者,他表示他只是接受云服務這種形式,并愿意做成本效益和風險分析。
可以肯定的是,將重要數(shù)據(jù)交給云服務并不是沒有做安全考慮,例如,該公司重新改進了身份管理程序。“我們需要考慮如何在公司程序和云服務中的程序間部署身份管理和安全措施。”
從身份驗證說起
IDC公司安全產(chǎn)品研究副總裁Charles Kolodgy表示,的確,重新調(diào)整身份管理通常都是選擇云服務的企業(yè)的起點,企業(yè)需要考慮身份驗證、管理控制、數(shù)據(jù)的位置以及可能訪問數(shù)據(jù)的人等問題。 “這些與企業(yè)平時的安全考慮很類似,差別在于企業(yè)不再持有基礎設置,并且也無法完全進入后臺,所以才需要重新調(diào)整,以確保安全性,”他補充道。
ServiceMesh 和Symplified兩家公司就為需要加強云安全的企業(yè)提供了統(tǒng)一訪問權限管理的產(chǎn)品。ServiceMesh提供的Agility Access由云管理、安全工具和模塊以及服務管理等組成。而Symplified提供的Trust Cloud是基于EC2的統(tǒng)一訪問權限管理和聯(lián)盟平臺,整合并保護軟件和基礎設施云服務、EC2和web 2.0應用程序。
云服務的好處
除了技術支持以外,云服務模式還為Schumacher公司的運營資源帶來新的思維方式,Menefee表示。
“大型云服務供應商都有專門的團隊和部門專職負責保護客戶的重要信息,并不斷尋求改善安全、監(jiān)測、入侵控制的方法。作為中型企業(yè),我們并沒有專職的部門負責安全。在云服務供應商的幫助下,企業(yè)安全更有保障,”他表示,即使發(fā)生安全泄漏事故,這些團隊也能夠比內(nèi)部人員作出更快的反應。
當然,將企業(yè)數(shù)據(jù)交給云服務供應商后,要求云服務供應商提供企業(yè)所需要的安全保障是完全合理的,但是,“不要因為將數(shù)據(jù)交給云服務供應商就忽略了企業(yè)的安全目標或要求,”Forrester研究所分析師Chenxi Wang表示。
云服務供應商在安全保障方面可能會有所出入,企業(yè)必須嚴格要求云服務供應商按照合約履行安全職責,“如果云服務供應商告訴你,你所要求是不可能實現(xiàn)的,你就可以告訴他們,那我們?nèi)フ伊硪患以品展獭!?/P>
美國的Schwan食品公司在規(guī)劃虛擬災難恢復架構時就運用了這個策略,該公司的高級IT運營經(jīng)理Cory Miller表示,“我們告訴供應商,‘你們必須使用我們的工具,將這些工具擴展到你們的環(huán)境’。”你甚至可以讓企業(yè)的安全工具供應商與云服務供應商簽訂協(xié)議。
Schwan食品公司用于保護其虛擬基礎設施的虛擬防火墻來自Reflex系統(tǒng)公司,該系統(tǒng)公司就與美國計算機科學公司以及Savvis公司(云服務供應商)合作,旨在“當在私有云和公共云間傳輸時確保安全保障和管理的統(tǒng)一性”。
當Schwan公司試圖將云服務向外擴展時,許多云供應商都躍躍欲試,但是到實際部署階段,并不是所有供應商都能夠接受Schwan的要求,技術整合是這些供應商面對的難題。
“我們告訴這些供應商,如果你不能提供這些功能或者服務,我們可以去找另外的供應商,”Miller表示。
即使是小型公司也會從長計議。如果企業(yè)現(xiàn)在建立了私有云,并希望將來擴展到公共云服務,那么了解云服務供應商能夠或者不能夠支持的安全工具將會影響企業(yè)的技術選擇。“企業(yè)肯定不希望自己設計的私有云與外部公共云在管理或加密程序方面有如此大差異,這樣的話,根本無法體會到云服務帶來的優(yōu)勢。”
嚴格要求云服務供應商
隨著云服務不斷成熟,供應商們都在努力開發(fā)能夠幫助企業(yè)擴展要求的工具和服務。
其中一個工具就是Adaptivity的Blueprint4IT,企業(yè)能夠用這個IT設計軟件來創(chuàng)建IT安全規(guī)劃圖,并考慮了這些因素:訪問權限政策、傳輸中和靜態(tài)數(shù)據(jù)的安全性,確保數(shù)據(jù)從內(nèi)部網(wǎng)絡向云服務安全傳送所需要的硬件和軟件組件。
“確定企業(yè)的要求,創(chuàng)建規(guī)劃圖,然后將規(guī)劃圖交給云服務供應商,要求供應商按要求部署云服務,”Adaptivity創(chuàng)始人兼首席執(zhí)行官Tony Bishop表示。或者企業(yè)可以試用Blueprint4IT來評估云服務供應商并幫助企業(yè)對安全架構成熟度評分。
有志者事竟成
企業(yè)選擇云服務時需要記住的是,“在云服務中,并不是每個應用程序都能確保安全,但與此同時,云服務并不是不能確保任何程序的安全,”Gartner公司副總裁John Pescatore表示。
即使是金融機構、政府機構或者持有高度機密數(shù)據(jù)(如支付款信息或者醫(yī)療信息)的其他公司都能夠在云服務中找到必要的安全保護。
Pescatore表示,還有一種方法就是在云服務中使用假冒數(shù)據(jù),而不是真正的重要數(shù)據(jù),“應用程序可以交給云服務處理,但是像支付款信息或者個人信息等重要數(shù)據(jù)還是應該保存在內(nèi)部網(wǎng)絡。”
顯然,企業(yè)在考慮選擇試用公共云服務時,有很多問題需要考慮。他們必須將風險和效益綜合進行考慮,并將重點放在數(shù)據(jù)和必須的控制上,從而作出正確的選擇。
【編輯推薦】