企业云服务:谁来负责?
根据新闻和统计数据,云安全的顾虑使得商业软件的决策者愁眉不展,从软件开发人员和架构师,再到首席执行官和首席信息官。从新闻的角度看,旧金山召开的2013亚马逊网络服务峰会“安全2013”。从统计数据的角度看,云早期的TechTarget调查中,大概是中期调查显示,直到2013年3月的Cloud PulseCloud Plus研究表明,安全是云采用的最大障碍,这与33—36%受访者所说的一致。
2013Cloud Plus调查中,近1300名业务和IT受访者中,超过32%的人表示云环境的安全性不足。当然与这个话题相关的约34%的人被排除,因为他们不能完全控制云环境。其他公司的调查显示了对安全性的高度关注。根据AWS峰会发言人JD Sherry所述, 近期趋势科技调查的54%的受访者,他们对安全性的顾虑阻碍企业云的采用,JD Sherry现担任趋势科技技术和解决方案的全球董事。
Jan Stafford
Cloud Directions专栏旨在介绍常见的云安全场景:谁来负责云安全的特定区域?最近专家Dan Cornell告诉我,组织假定云提供商提供的安全服务并不安全,San Antonio的安全工具ISV和咨询公司Denim Group的总裁Cornell说:“因为设置云服务器很容易,他们认为有人(和云提供商)正在关注着他们。但在很多情况下,并没有人注意他们。”
Cornell说,对云服务和应用安全性的长期恐惧气氛,源于提供商和用户。他们说,这归咎于云服务提供商缺乏有关安全责任分工的信息、潜在云用户的低效率分析以及缺乏创新想法。
好消息是,一些云服务提供商已经将安全信息从小字体转变成为粗体标题,正如上述AWS峰会会议所证实的那样。“安全2013”会议阐明了亚马逊网络服务和用户的安全责任:
• AWS:设施;物理安全;基础设施;网络基础设施;虚拟化基础设施。
• AWS客户:操作系统;应用;安全组;网络ACL;网络配置;账户管理。
亚马逊负责其内部系统和基础设施的安全,“但是他们不想处于数据库[安全]业务的位置”,“安全2013”发言人Sherry说,“CIO和从业人员负责安全与服务部署。用户需要负责确保他们的服务在云中运行。”
云服务的用户负责代理的性能,其使安全资料、防火墙、主机入侵及更多的管理可行。Sherry说:“你必须着手处理托管水平,因为它与你密切相关。”他指出,传统的网络设备不可行,因为他们只能有限控制网络。基于代理的托管
对公司当前的安全系统而言,担负起用户方在云应用和服务安全方面的责任,有点言过其实,主要是因为云服务的动态特性。例如,没有维护云应用的内部人员,对于Cloud Plus2013受访者中21.6%的人来说是一个不争的事实。
Cornell说,在云环境中,运行典型的企业安全流程是很困难的。“不能更快扩大服务器规模,使你在云中陷入困境,”他解释道,“你的配置及重新配置的标准流程可能无法处理这个问题。”
显然,当前性能与云服务安全需求的慎重评估是必要的。Cornell建议,当应用迁移到云时,观察使用模式将如何改变。例如,决定是否需要杀毒,当开启服务器一分钟来做具体的工作,然后迅速关闭时,可能不需要杀毒。Cornell说:“主要关注的问题正被不同的云服务器生命周期和各种因素搞得措手不及。”
使用第三方的云安全服务来填补内部能力与云责任需求之间的空缺,是一个有效的方法,也有前提条件。Cornell建议:“如果你的物理服务器不具备那种性能,那么就依靠服务。”