安全標準真的與云無關?
安全標準和云無關是本文所要闡述的內容,云計算的概念本意上是圍繞基礎架構設計的企業外部的共享資源池。云計算主要是作為一種能夠減少企業成本與提升IT靈活性的有效途徑,最近得到了更多企業的關注和長足發展的動力。
但不容忽視的是云計算的應用也伴隨著安全性的風險,諸如企業應用的風險,可用性和數據完整性等。
企業應用咨詢公司的首席分析師Josh Greenbaum強調說,多數企業對云計算的風險還沒有給予足夠的重視。"如果數據中心的管理者們去關注機房里的主要設施,看到服務器之外都配置了一個備用電源,他們就認為沒有問題了"Greenbaum表示。他認為云計算應該也沒有什么不同。
在某些情況下,如果風險太大就不能過于依賴云計算。企業在決定要把一些服務器和應用軟件放在云上時,必須考慮清楚如何對可能的風險進行管理。
Gartner咨詢公司副總裁兼分析家David Cearley表示使用云計算的局限是企業必須認真對待的敏感問題,企業必須對云計算發揮作用的時間和地點所產生的風險加以衡量。舉例來說,企業通過放棄對某些數據的控制來獲取經濟上的交換成本節約。對于IT部門里那些C級別的高層管理者來說,他們必須對這種交易是否值得做出決策。Cearley表示每件事務最終都能作為云服務提供,但是對于任何獨立的企業而言,并非每件事務都能從云上獲取。
"在企業外部的共享資源池中,用戶對資源在何處運行一無所知也無從控制。如果你認為數據所在的位置和來源對你很重要,那么這就成為你不使用云計算的一個原因"Cearley強調說。
安全標準與云無關
Greenbaum表示,IT業界有大量的行業標準。舉例來說,諸如像SAS公司的交互關系管理(SAS Interaction Management)這樣的服務標準廣泛應用于IT安全和法規遵從和企業交互關系的管理。然而隨著時間的流逝,交換式關系管理也將被轉移到云上。
同時,在針對云計算體系架構的安全模式和標準出臺以前,多數可能面臨的風險和損失就直接落在了IT企業的肩上,而不是由云計算服務供應商來承擔。"Salesforce.coms和NetSuites都無法提供由標準化制度保障的風險管理機制"Greenbaum補充說。
針對云計算的最佳實踐指南
IBM公司安全和風險管理部門總監Kristin Lovejoy認為,享受云服務的消費者最終要負責對數據的保密性,完整性和可用性的維護。
Lovejoy引用健康保險便利及責任法案(Health Insurance Portability and Accountability Act, HIPAA) 的事實為例解釋說,健康保險便利及責任法案沒有對數據安全有特別規定。取而代之的是,法案的第164.308和164.314章節中只是簡單的要求企業要確保來自任何第三方處理數據的安全性。Lovejoy強調說。
至于對云配置的時間加以限制的做法,Lovejoy建議說企業應該按照杰弗里.摩爾的"相對核心"理論去做(摩爾是TCG顧問公司的創建者兼商業戰略家)。
Lovejoy解釋說,核心商業慣例提倡的是競爭差異化。而相對慣例傳遞的是企業內部行為的理念,諸如人力資源服務和薪資制度。核心慣例和相對慣例能被分為關鍵任務應用軟件和非關鍵任務應用軟件。"如果非關鍵任務應用軟件脫機,企業依然能繼續生存"。
Lovejoy還強調說,摩爾的理論是"如果企業實踐是相對和非關鍵任務的,可以把它放在云上,如果是相對又是關鍵任務的,可以用云激活。如果是核心業務而不是關鍵任務,你可以考慮把它置于防火墻的保護下;如果它即是核心業務又是關鍵任務,你就必須把它放在防火墻的保護下"。
從容進行安全保護
Gartner咨詢公司首席安全分析師John Pescatore表示,云計算的方法最初沒有考慮安全性的設計。
Pescatore最擔心的部分是如何快速實現云服務的升級和轉變。他引用微軟公司進行軟件開發的生命周期為例,假設關鍵任務應用軟件的開發需要經歷3到5年的周期,在這段時間里不會有大的變化。
"在云上,每個兩周就要增加一種新的特性,隨時都要會對應用軟件進行調整。但是安全的軟件開發生命周期是不能建立在云上完成的"Pescatore認為"更糟的是企業用戶無法忍受使用過時的版本,在云上你必須接受新版軟件,而這些版本可能就存在著不安全因素"。
隨著云計算的不斷發展,安全成為企業高端,金融機構和政府IT部門的核心和關鍵性任務,這些領域都需要添加自己的安全層。這就意味著云計算并不比內部運行應用軟件要便宜。
但是如果大型企業無法以來云提供的安全服務,小規模的企業卻能從云上獲得更好的安全保護,Pescatore介紹說。原因之一就是云服務供應商能比個體和小型公司在安全上投入更多的資金,因為這種費用能分攤到數百名用戶上。另一個原因是一旦云服務供應商為安全漏洞進行修補,所有的用戶就能立即得到保護,不必去下載補丁程序。
掌控數據來源
還有一個問題或多或少的會對用戶產生影響,那就是他們數據的來源。Pescatore表示,由于不同國家適用的數據管理和隱私保護的相關法律不盡相同,所以數據來源對從事跨國業務的企業尤其重要。比如歐盟就對個人數據的存儲和公民隱私保護有著嚴格的規定。許多銀行業行規也要求用戶的金融數據要保留在本國。許多遵從法規還要求數據之間不能相互混淆,諸如共享服務器或數據庫等。
如今我們對數據在云上存儲的位置一無所知。關于數據的私密性和安全性衍生出的問題隨時在發生。但是這種不確定的數據來源狀況開始發生改變了。舉例來說,谷歌要求用戶詳細說明Google Apps數據的存儲位置,這主要歸功于谷歌對電子郵件安全公司Postini的收購。再比如瑞士銀行要求用戶數據文檔要存儲在瑞士,谷歌現在就能做到這一點。
Pescatore表示,更深入的做法是從物理上將企業數據和云上多用戶體系架構基礎上的其他用戶數據相分離。而且Pescatore預測說這種隔離能夠通過目前尚處于初級階段但發展日益強大的虛擬化技術來實現。
【編輯推薦】
