云安全問題你考慮了嗎？

由于在企業(yè)內(nèi)部維護(hù)硬件和軟件價(jià)格昂貴，于是將企業(yè)IT架構(gòu)交給云計(jì)算也成了順理成章的事情。主要的優(yōu)勢(shì)包括：當(dāng)IT架構(gòu)作為互聯(lián)網(wǎng)服務(wù)提供給你時(shí)，你不再需要有專業(yè)知識(shí)或者對(duì)其進(jìn)行控制，你只要把所有東西交給云計(jì)算就可以了，并且價(jià)格很實(shí)惠。但是，如同所有新技術(shù)一樣，太多人部署云計(jì)算方案，以至于還沒來得及考慮云安全問題。

福特汽車公司的安全顧問兼高級(jí)web設(shè)計(jì)架構(gòu)師Matt Schneider

我對(duì)于云安全問題非常感興趣，目前我們正在開發(fā)一種web應(yīng)用程序，用來向大眾提供安全的電子郵件、聊天、留言板和協(xié)作的平臺(tái)，同時(shí)我們網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)服務(wù)器中的所有內(nèi)容都是用強(qiáng)大的加密功能和密鑰進(jìn)行保護(hù)。

作為web開發(fā)人員，我很清楚開發(fā)人員會(huì)鼓吹自己已經(jīng)盡全力去保護(hù)用戶數(shù)據(jù)了，雖然只是將用戶數(shù)據(jù)以純文本形式存儲(chǔ)在共享網(wǎng)站。在大多數(shù)情況下，你的個(gè)人信息對(duì)于其他人以及你所訪問的網(wǎng)站而言都是沒有價(jià)值的，人們總是過于信任web應(yīng)用程序，將自己的信息都暴露在上面。

大部分互聯(lián)網(wǎng)數(shù)據(jù)都是不重要的數(shù)據(jù)，這些數(shù)據(jù)也很少會(huì)被偷竊或破壞，但是也難免出現(xiàn)這樣的情況，我們?cè)谡搲蛘吡奶旃ぞ咧姓務(wù)摍C(jī)密信息，而碰巧被某些人截獲。到底普通用戶對(duì)于云計(jì)算有多關(guān)注呢?可能大部分人都沒有想過云計(jì)算，就像最近Facebook和Twitter發(fā)生的攻擊事故，如果用戶真的擔(dān)心信息安全問題，就應(yīng)該停止使用這些平臺(tái)。

對(duì)于一個(gè)網(wǎng)站而言，尤其是那些用戶透露重要個(gè)人信息的網(wǎng)站，是否安全主要可以從以下幾個(gè)方面體現(xiàn)：

• SSL連接

• 信譽(yù)認(rèn)證(如 Verisign和 GeoTrust認(rèn)證等0)

• 多個(gè)信譽(yù)認(rèn)證(Verisgn、McAffee和BBB等)

• 可信的公司名

• 廣泛宣傳

• 媒體推薦

• 大量用戶群體

我認(rèn)為以上條件基本可以確定某個(gè)網(wǎng)站是否能夠保護(hù)客戶的重要信息。通常用戶會(huì)根據(jù)自己的判斷而信任某個(gè)網(wǎng)站能夠保護(hù)他們的數(shù)據(jù)，即使不知道網(wǎng)站是如何保護(hù)他們的數(shù)據(jù)或者存儲(chǔ)位置。但是這樣真的安全么?

位于加拿大安大略省PerspecSys公司的CEO兼CTO Terry Woloszyn：

當(dāng)有人想要采用基于云計(jì)算的應(yīng)用程序時(shí)，通常他們需要確保這幾個(gè)因素：隱私性、存儲(chǔ)位置和安全(PRS)。云安全方面主要分為兩類：云計(jì)算供應(yīng)商提供的數(shù)據(jù)安全保護(hù)以及云計(jì)算供應(yīng)商防火墻與用戶驗(yàn)證之前的數(shù)據(jù)安全。因此，在考慮什么是云計(jì)算問題之前，你需要建立一個(gè)分類。

Wikibon Project的合作伙伴兼主要研究負(fù)責(zé)人 Michael Versace：

有些人把云安全描繪得過于復(fù)雜。安全是基于風(fēng)險(xiǎn)的規(guī)則，用戶首先需要理解云服務(wù)中存在的固有風(fēng)險(xiǎn)，然后部署最佳的企業(yè)化的/管理/業(yè)務(wù)流程和技術(shù)控制來管理風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)控制到可接受的級(jí)別。

網(wǎng)絡(luò)安全顧問George Moraetes：

云計(jì)算是一種業(yè)務(wù)概念，俗稱為SaaS(軟件即服務(wù))、PaaS(平臺(tái)即服務(wù))和IaaS(基礎(chǔ)設(shè)施即服務(wù))。實(shí)際上，它是指將數(shù)據(jù)中心外包給第三方供應(yīng)商(自詡其產(chǎn)品是最佳最安全的產(chǎn)品)，問題在于，在云計(jì)算中將每個(gè)系統(tǒng)都認(rèn)為是可靠的，而實(shí)際上沒有百分之百安全的系統(tǒng)。

首先我們來分析下這個(gè)“云”，將它作為向企業(yè)提供計(jì)算服務(wù)的外包數(shù)據(jù)中心。如果提供的服務(wù)是指軟件、平臺(tái)或者基礎(chǔ)設(shè)施，那么保護(hù)這些特殊的服務(wù)的安全性就應(yīng)該與保護(hù)遵守行業(yè)最佳做法的非外包服務(wù)一樣，但是實(shí)際情況是這樣嗎?企業(yè)真的能夠控制外包出去的數(shù)據(jù)安全么?安全本身可以作為保護(hù)數(shù)據(jù)和交易而外包出去嗎?企業(yè)能夠向供應(yīng)商解說清楚如何保護(hù)他們的數(shù)據(jù)么?當(dāng)數(shù)據(jù)外包給第三方后，誰持有這些數(shù)據(jù)?數(shù)據(jù)存儲(chǔ)在哪里?誰控制這些數(shù)據(jù)?這些都是涉及數(shù)據(jù)違規(guī)法律責(zé)任問題的。

其實(shí)云計(jì)算可能造成的安全損失要遠(yuǎn)遠(yuǎn)超過部署本地服務(wù)的成本，從法律角度來看，最好能夠確保那些鼓吹能夠運(yùn)行其數(shù)據(jù)中心保護(hù)數(shù)據(jù)的外包第三方能夠真正履行其承諾。

我認(rèn)為云安全應(yīng)該是這樣：能夠確保企業(yè)傳統(tǒng)數(shù)據(jù)中心所部署的技術(shù)和操作在第三方供應(yīng)商也有。而不屬于云安全的包括合法性、最佳做法和行業(yè)標(biāo)準(zhǔn)，這些控制安全框架(已經(jīng)成為熱門問題)的問題，這些方面極具吸引力，因?yàn)槌杀締栴}。

KVH 公司的信息安全經(jīng)理Venkatesh Ravindran ：

眾所周知，基礎(chǔ)安全是以可用性、完整性和保密性為核心的，云安全必須解決這些基本的安全問題。換個(gè)角度看主要包括以下安全問題：

• 網(wǎng)絡(luò)外圍安全(由云計(jì)算安全供應(yīng)商部署的外圍安全)

• 網(wǎng)絡(luò)通信安全(客戶與云安全供應(yīng)商之間的通信)

• 應(yīng)用程序/平臺(tái)安全(這是最具挑戰(zhàn)的部分，因?yàn)榇蟛糠謶?yīng)用程序或者平臺(tái)都具有多重性)

• 數(shù)據(jù)安全

• 法律法規(guī)與合規(guī)

Maricom系統(tǒng)公司的主要架構(gòu)師/CSO Wing Ko：

我同意George Moraetes的觀點(diǎn)，云計(jì)算只是數(shù)據(jù)中心外包。雖然不同模式(*aaS)，使用方式以及供應(yīng)商如何部署服務(wù)等，云安全都要比傳統(tǒng)數(shù)據(jù)中心外包更復(fù)雜。

話雖如此，我也同意Mike Versace的說法，我們應(yīng)該提供一些基本的辦法來幫助大家的了解并提出一些問題，我一直以來使用的方法就是RAIN(如下)，這是屢試不爽的規(guī)劃和分析方法：

• (R)equirement要求：了解你的業(yè)務(wù)需求，從中歸類出技術(shù)需求、非技術(shù)需求、管理要求和安全要求等。

• (A)nalysis分析：從你的業(yè)務(wù)要求出發(fā)，對(duì)你想要或者能夠外包的任務(wù)或者服務(wù)進(jìn)行分析，并且明確那些任務(wù)是由哪些人負(fù)責(zé)，以免增加后期工作難度。然后進(jìn)行風(fēng)險(xiǎn)分析，特別是從云連接、多重性、本地?cái)?shù)據(jù)隱私法規(guī)和業(yè)務(wù)連續(xù)性來考慮。

• (I)nterface界面：明確界定系統(tǒng)和用戶界面。誰負(fù)責(zé)聯(lián)系供應(yīng)商或者如何向供應(yīng)商咨詢問題?使用哪些API或者網(wǎng)頁?如何使用?返回的結(jié)果是怎樣的?界面/接觸點(diǎn)越多，數(shù)據(jù)泄漏發(fā)生的幾率就越高

• e(N)sure確保：核查和確保服務(wù)是根據(jù)條款來執(zhí)行的。測(cè)試供應(yīng)商發(fā)送的結(jié)果以確保是以你期望的格式發(fā)送的，審計(jì)或者筆測(cè)服務(wù)，執(zhí)行供應(yīng)商運(yùn)行的操作

云安全總結(jié)

云計(jì)算技術(shù)的廣泛應(yīng)用使得企業(yè)越來越依賴于云基礎(chǔ)設(shè)施以及作為互聯(lián)網(wǎng)服務(wù)而提供的虛擬資源，但是安全專家擔(dān)心，很多企業(yè)在投入云計(jì)算之前都沒有考慮風(fēng)險(xiǎn)問題。