混合云帶來安全新挑戰
將那些在私有云和公有云之間移動的數據鎖起來是一件非常棘手的事。
如果說2013年是企業開始部署混合云策略的年份,那么正如專家們所預測的那樣,2013年也將成為混合云安全開始受到重視的一年。業內分析師、行業觀察人士和安全從業者認為,在如何徹底確保混合云安全性的問題上根本就沒有***的解決方案,這無疑是一個壞消息。
造成這種局面的原因是由于混合云安全涉及許多因素。例如,如何確保本地數據中心的資源安全,如何確保向公有云遷移的大量應用的安全,如何確保存儲在多家云服務商上數據的安全,如何保護公有云和私有云的虛擬化基礎,以及如何確保接入云基礎設施的移動設備安全,這些都是需要解決的問題。
除了這些問題外,另一個阻礙創建一個***解決方案的原因是,混合云的定義有待進一步被解釋。在廣義的安全性和特定的云安全性方面,每家公司都有著不同的理解。如果企業的策略是在戒備森嚴的本地數據中心或虛擬私有云中執行***限度的操作,以及同時將批處理或用戶前端處理遷移到云上,那么這一策略將成為IT部門的噩夢。
安全管理廠商趨勢科技公司負責云安全的副總裁Dave Asprey說:“每個混合云部署都各具特點,這使得確保其安全性成為了一個移動目標。”Asprey贊同“網狀云”的概念。所謂“網狀云”就是指企業客戶轉移到一個分布式云模式上。在這一模式上,他們能夠使用多家云服務商的服務,每一家云服務商都可以根據使用案例、價格和可獲得性被相互替代。
Asprey說:“我并不認為,針對‘網狀云’的威脅類型一定會比傳統數據中心或私有云解決方案所面臨的威脅要多。但是,在這些分布式云中運行的數據所面臨的潛在風險肯定會增加。”
混合云安全策略
好的消息是,已在現有網絡中部署了深度防御措施的企業能夠在混合云安全管理策略中繼續使用這些安全措施。需要注意的是,IT管理部門必須負責大量的高級規劃,同時在混合云投入使用前就安全策略和設備方面的技術調整對員工進行培訓。
普華永道咨詢實踐負責人兼公司全球安全實踐主管Gary Loveland說:“通常在這一行業內,在相關安全顧慮被完全解決前,技術的應用速度都很快。”Loveland稱,通過混合云,客戶能夠更加清楚安全需求,同時更加關注云服務商是否對定義和確保多租戶邊界安全、PCI和FISMA(聯邦信息安全管理法案)合規性,以及審計功能等問題做好了充分的準備。
產業指導提供幫助
云安全聯盟(簡稱為CSA)在2011年推出了“CSA安全信任與保證注冊項目”(Security Trust and Assurance Registry,簡稱STAR)。用戶可以免費注冊并訪問由眾多云服務商所提供的安全控制文檔。廠商在該項目中將提供關于他們的產品信息。這一項目旨在幫助用戶評估他們正在使用或未來考慮使用的云服務商的安全風險。目前,該項目已經包含了20多家服務商的信息。
Loveland稱,根本性的問題是企業必須在使用虛擬化技術和云服務管理方面積累豐富的經驗,并能夠充分利用更高級的安全解決方案。
從事審計、控制與信息系統安全的互聯網服務商聯盟ISACA的國際副總裁兼移動安全廠商RiskIQ的副總裁Jeff Spivey認同這一觀點。他表示,企業IT部門通常認為,一旦他們將運營交給云服務商,那么安全責任將由后者承擔。Spivey說:“這并不是真的。在這一階段,IT部門需要更加努力地在他們的云服務上部署安全措施。”他指出,針對企業IT部門管理的***ISACA架構COBIT 5.0列出了云計算中常見IT控制目標,可以作為部署混合云安全策略的重要指導綱要。
科學定制混合云策略
隨著云計算宣傳力度的持續加大,企業會要求IT部門通過管理獲取云計算所宣傳的經濟效益。但是,IT部門的責任是確保企業能夠安全地轉向云計算,以獲取這些效益。實際上,美國得克薩斯大學的計算機科研人員已經設計出了一種算法。這種算法能夠幫助企業研發出一種能夠感知風險的混合云策略。
據從事該項研究的Murat Kantarcioglu博士稱,這種解決方案非常有效,能夠在確保機制安全的情況下,在混合云環境中的公有與私有機器間進行分區計算。Kantarcioglu和他的同事已經為在混合云中分配數據和處理流程創建了一個框架,它能夠同時滿足性能、敏感數據泄露風險和平衡資源分配成本等眾多互相制約的指標。
這一技術還將部署作為基于Hadoop與Hive的云計算基礎設施的附加工具。Kantarcioglu的團隊還通過實驗證明,該技術可在不違反任何以前公有云使用限制的情況下,通過利用混合云組件大幅提升云計算性能。
Bluelock公司的CTO Pat O'Day表示,考慮混合云如何運行才符合企業整體信息安全管理方案,有助于IT部門為整個企業的處理程序重新設置適當的安全等級。O'Day說:“我們正在考慮如何為特定應用、特定的處理程序,甚至是特定的數據基礎設置正確的安全等級。這樣一來,企業將有更大的余地選擇將安全資源花費在他們希望的地方上。”
云服務器安全廠商CloudPassage公司的產品副總裁Rand Wacker則認為,對安全環境苛刻的客戶更適合使用混合云,因為在公有云和本地資源之間有直接的鏈接。這樣一來,可以根據風險等級設定更為嚴格的安全策略。
ISACA的Spivey建議客戶,無論企業制定怎樣的安全策略,他們必須要確保這些安全策略具有可移植性。Spivey說:“不要將你的安全策略對象只限定在現有的云服務商身上。隨著時間的流逝,出于價格或性能原因,你可能會選擇不同的服務商。而在遷移過程中,你不希望必須重新考慮整體安全策略。”
