詳解確保云計算安全的四大解決方案 - 全文

　　有人認為，云安全是整個行業(yè)中最棘手的問題，而且它們在近期內(nèi)不會被解決，但是也有人認為云安全并不是什么大問題，因為與客戶相比云服務(wù)提供商擁有更嚴格的安全措施。

　　在許多關(guān)于這一話題的調(diào)查中，安全問題總是一個重要顧慮，它們也因此成為了許多IT商店的頭等大事。目前已經(jīng)有了一些安全標準創(chuàng)新方案，這些標準可能最終會幫助消除一些問題，但是目前距離這些標準的出臺還有很長的一段路要走。

　　現(xiàn)在有一件事情以明確，即在沒有親自進行充分調(diào)查之前不要做任何假設(shè)。市場研究公司Gartner 的分析師Jay Heiser一直致力于研究企業(yè)和法規(guī)所面臨的潛在風(fēng)險。Heiser 稱：“服務(wù)提供商可能正在為保護數(shù)據(jù)做大量工作，或是正在創(chuàng)建安全性更好的應(yīng)用框架，這固然不錯，但是最大的問題在于你如何確定他們正在做這些工作。如提供商無法（通過測試和數(shù)據(jù)驗證）證明他們產(chǎn)品的安全性像他們所宣傳的那樣。如此一來，你將無法做出是否選擇他們的決定?！?/p>

　　印第安納大學(xué)摩利爾法學(xué)院網(wǎng)絡(luò)安全應(yīng)用研究中心主任Fred Cate稱，在涉及云安全時，公司所面臨的最大一個難題是，誰應(yīng)當(dāng)在法律方面承擔(dān)負責(zé)。

　　Cate稱：“云服務(wù)提供商認為公司應(yīng)當(dāng)為此承擔(dān)責(zé)任，而公司則認為云服務(wù)提供商應(yīng)當(dāng)承擔(dān)責(zé)任。為了解決這一問題，一些公司選擇了微軟等值得信賴的服務(wù)提供商?！辈贿^，他指出，這一做法導(dǎo)致客戶的可選擇性大幅降低，同時這一做法也不能確保數(shù)據(jù)的安全性，因為你僅僅為你的云基礎(chǔ)設(shè)施選擇了一個知名的服務(wù)提供商而已。

　　幸運的是，一些新技術(shù)正在幫助確保云的安全，至少對于員工來說將知識產(chǎn)權(quán)或敏感數(shù)據(jù)公布在公有云上將變得更加困難。

　　美國聯(lián)合航空公司：在飛機上部署云計算

　　美國聯(lián)合航空公司開始著手進行一項激進的試驗。美聯(lián)航今年將為機組成員提供10000部蘋果iPad.這些iPad將替代存放手冊、航圖和其它用于飛行準備的非敏感信息的飛行包。機組成員可訪問Jeppesen等托管服務(wù)提供商，以獲得在線飛行手冊服務(wù) 。美聯(lián)航還將iPad作為更新公司新聞和員工信息的通訊工具。

　　John Van Hoogstraten為美聯(lián)航負責(zé)IT安全與風(fēng)險管理的常務(wù)董事。他稱，公司傾向于逐漸開展與云相關(guān)的部署，但是由于iPad等移動設(shè)備具有許多優(yōu)勢，因此他們無法再推遲相關(guān)的部署事宜，這些優(yōu)勢包括可以更好的管理飛行手冊，降低燃料成本，因為機組成員不必再攜帶沉重的飛行包。

　　他稱，公司目前正在使用賽門鐵克的產(chǎn)品進行身份管理和病毒防護，下一步他們將考慮部署名為“賽門鐵克O3云身份與訪問控制”的單點登錄產(chǎn)品以執(zhí)行單一認證程序。

　　美聯(lián)航負責(zé)IT安全與風(fēng)險管理的常務(wù)董事John Van Hoogstraten稱，他們正在考慮使用單點登錄技術(shù)以簡化云軟件的認證。

　　Hoogstraten ：“我們需要使用一個安全的認證系統(tǒng)以確保使用iPad的人的身份，尤其是在飛行員飛往那些缺乏安全保障的第三世界國家時?！彼挠媱澥鞘褂脝吸c登錄，因為其可以接入美聯(lián)航的活動目錄（Active Directory）系統(tǒng)并為機組成員訪問服務(wù)提供商提供一個入口。這意味著飛行員不必多次登錄不同的服務(wù)，這樣一來可以節(jié)省飛行員們的時間。

　　單點登錄是最常見的一種處理云安全問題的新機制。這意味著在發(fā)生問題時只有一個故障點。O3將作為一種工具在數(shù)據(jù)中心運行，這意味著所有的云訪問都將流經(jīng)該設(shè)備，這有可能會降低連接速度。

　　Heiser 稱：“單點登錄解決了云安全的根本問題，即便捷性與安全性的平衡。當(dāng)然，認證并不總是最大的問題。讓我們回顧一個Gmail（密碼）事故吧。在事故中，人們能夠輕易地獲得訪問權(quán)。許多公司應(yīng)當(dāng)意識到密碼存在缺陷?！?/p>

　　為了解決這一問題，賽門鐵克使用了雙因素認證。典型的情況是，員工需要安裝在iPad上的標記ID和密碼才獲取訪問云服務(wù)的訪問權(quán)。

　　Cate稱，在處理類似iPad訪問公司系統(tǒng)的新安全問題中，一個穩(wěn)妥的解決方案是將安全審計作為部署內(nèi)容的一部分。安全審計的一個好處是你可以發(fā)現(xiàn)一些潛在的風(fēng)險，例如過度依賴于某一種策略?！叭绻銓⒋罅繑?shù)據(jù)存儲在一個地方，那么你就越容易成為被攻擊的目標，同時你也就越值得黑客花時間攻擊你?！?/p>

　　他稱，安全評估必須要細致，除了數(shù)據(jù)存儲和策略外，還要檢查類似iPad或智能手機等特定的設(shè)備。這意味著要使用自動化風(fēng)險管理工具和進行風(fēng)險評估。例如，美聯(lián)航飛行員將率先使用iPad交流公司中發(fā)生的新聞。如果執(zhí)行官們決定將向地勤人員部署平板電腦，那么公司應(yīng)當(dāng)對整體風(fēng)險進行評估。

　　“每個公司都應(yīng)當(dāng)考慮這些問題：如果這么做的話，將會遇到多少麻煩？這么做的風(fēng)險是多大？不要僅關(guān)注在法律生產(chǎn)上的麻煩，還要關(guān)注對公司聲譽和股東帶來的影響?！?/p>

　　羅克福德市：將社交網(wǎng)絡(luò)記錄存在云上

　　對于美國伊利諾斯州的羅克福德市來說，任何涉及云計算的解決方案都受到了政府法規(guī)的約束。例如，伊利諾斯州出臺了《本地記錄法案》。該法案規(guī)定公共記錄，包括基于云的數(shù)據(jù)都必須留檔一段時間。不過具體多長時間，州和市的規(guī)定不盡相同。

　　與此同時，羅克福德市決定啟動新的交流方式與市民進行互動。該市的一名Web開發(fā)員與管理員Kevon Hayes稱，市政府希望使用推特或臉譜，但是他們必須要找到一個辦法以確定這些數(shù)據(jù)的備份能夠被安全存儲，并且在需要的時候能夠被重新取回。

　　Kevon Hayes稱，市政府希望使用推特或臉譜，但是為了遵守本地記錄法，他們必須要找到一個辦法確保這些數(shù)據(jù)的備份能夠被安全存儲。

　　羅克福德市選擇了Backupify服務(wù)。該存檔服務(wù)能夠掃描市政部門領(lǐng)導(dǎo)發(fā)至社交網(wǎng)絡(luò)上的貼文，并將這些數(shù)據(jù)存儲到亞馬遜S3云存儲服務(wù)上。

　　Hayes稱，大約有1000名雇員和6名部門領(lǐng)導(dǎo)會向社交網(wǎng)絡(luò)發(fā)貼。他每三個月就會檢查一下位于亞馬遜上的XML數(shù)據(jù)，查看一下社交網(wǎng)絡(luò)記錄是否存儲在那里。

　　Backupify還是一款可對來自谷歌Apps、 Gmail和Salesforce的數(shù)據(jù)進行存檔的備份工具。由于數(shù)據(jù)被存儲在亞馬遜S3上，因此羅克福德市的數(shù)據(jù)能夠通過亞馬遜服務(wù)向多個遠程位置傳輸。

　　Alan Brill為風(fēng)險管理公司Kroll的一名分析師，他認為云安全不僅僅是加密遠程連接和對用戶進行認證。許多公司都忽視了員工在日常工作中訪問社交網(wǎng)絡(luò)和消費者網(wǎng)站的行為。

　　Brill 稱：“公司是否將社交網(wǎng)絡(luò)納入其云安全整體策略中非常關(guān)鍵。所有的事情都存在風(fēng)險。公司需要一些工具，以清楚正在發(fā)生什么事情，誰正在將什么信息貼在云上，以及如何獲得這些數(shù)據(jù)?！?/p>

　　Cate 稱：“云備份的最大優(yōu)勢是增加了靈活性。用戶可以通過臺式機或遠程設(shè)備隨時隨地獲取存檔的數(shù)據(jù)。目前用于備份的磁帶會出現(xiàn)退磁理現(xiàn)象，用戶必須對備份手段進行升級。另一方面，選擇云服務(wù)將會導(dǎo)致用戶將具有重要價值的資源交到別人手中。因此用戶應(yīng)當(dāng)對這一需要進行全面細致的調(diào)查?！?/p>

　　Cate認為，公司需要對數(shù)據(jù)存儲位置進入調(diào)查。如果存儲行為會跨越國家邊境，用戶應(yīng)當(dāng)及時確認這么做在法律方面會出現(xiàn)什么樣的后果。如果數(shù)據(jù)被存儲在其他國家，用戶需要確認可以自由地訪問這些數(shù)據(jù)。

　　Nice Shoes：確保遠程審片的安全性

　　許多IT經(jīng)理認為云安全就是保護數(shù)據(jù)或是確保在Dropbox上共享文件的“流氓”員工不會泄露公司秘密。不過對于靠制作電視廣告和為Beyonce等藝術(shù)家制作MV為主業(yè)的Nice Shoes來說，云安全遠遠不止這些。他們的目標是保護創(chuàng)意內(nèi)容的安全。

　　公司首席信息官Robert Keske稱，經(jīng)常會有客戶提出希望參與非正式的審片會，查看工作的進展情況。

　　雖然視頻將上傳至云上，但是公司將會對它們的安全性與質(zhì)量進行管控。這其中有兩個重要的標準。一個標準是公司不希望發(fā)生原始素材被人竊取的事情。另一個標準是遠在洛杉磯或是全球其他地方的客戶所看到的視頻在分辨率和色彩等質(zhì)量上必須與制作者在紐約辦公室里所看到的一樣。

　　Nice Shoes首席信息官Robert Keske稱，公司允許客戶觀看他們的電視廣告和MV，但是公司十分重視對安全和質(zhì)量的管控。

　　Nice Shoes安裝了一個內(nèi)部IPTV，實際上與你在家中看到的AT&T U-verse很相似。公司通過思科ASA 5520安全工具建立數(shù)據(jù)連接和一個IPsec（互聯(lián)網(wǎng)協(xié)議安全協(xié)議）VPN.后者實際上是擴展了公司的私有網(wǎng)絡(luò)。

　　為了保證質(zhì)量達到標準，Nice Shoes使用了一項名為FEC（前向糾錯）的技術(shù)。這種技術(shù)可以持續(xù)的監(jiān)視數(shù)據(jù)流，并糾正傳輸中出現(xiàn)的像素級錯誤。在另一地的審片室將使用Nice Shoes為滿足特定標準而安裝的顏色校正軟件。

　　另一個值得關(guān)注的特點是：Nice的IPsec被配置在思科的硬件上，其能夠自動進行通報。這意味著客戶不再需要對思科生態(tài)系統(tǒng)組成部分的設(shè)備做任何設(shè)置，當(dāng)客戶首次進行安全連接時，Nice Shoes的IT員工能夠?qū)υO(shè)備進行遠程設(shè)置。

　　由不提供公共訪問，因此客戶審片的安全性得到了進一步保護。客戶只能通過端點工具觀看廣告或MV，這是唯一途徑。如果沒有設(shè)置適當(dāng)?shù)腎Psec、VPN和FEC，那么系統(tǒng)將不會工作。

　　摩森康勝啤酒釀造公司：用云進行身份管理

　　在總部位于丹佛的摩森康勝公司內(nèi)部，身份管理系統(tǒng)正在與時俱進。

　　公司首席安全信息官Kevin Schmitt發(fā)現(xiàn)，由8名員工組成的小型安全團隊已經(jīng)難以對現(xiàn)有應(yīng)用提供支持。培訓(xùn)新的員工，設(shè)置密碼，提供訪問權(quán)限已經(jīng)變?yōu)榱艘患掷廴说墓ぷ?。目前，公司的身份管理極有可能轉(zhuǎn)移到云上，主要是因為公司的數(shù)據(jù)中心已經(jīng)外包給了服務(wù)提供商。

　　Schmitt 稱：“我們必須找到一個新的身份管理系統(tǒng)。新系統(tǒng)不應(yīng)當(dāng)像現(xiàn)在這樣零碎，同時其還必須包括所有的員工身份和外部合同商管理規(guī)定?！?/p>

　　Schmitt表示，他沒有考慮單點登錄產(chǎn)品，因為公司基礎(chǔ)設(shè)施不僅僅涉及訪問Web服務(wù)。他希望找到一個“綜合性”解決方案，即身份管理系統(tǒng)能夠橫跨所有被托管的業(yè)務(wù)平臺和Web服務(wù)，包括那些在本地托管的平臺和服務(wù)在內(nèi)。

　　最終，他決定與專門銷售身份與訪問管理軟件的Lighthouse安全集團進行合作。在新系統(tǒng)大規(guī)模部署前，公司的老身份管理系統(tǒng)可以進行多重登錄，甚至與指定的員工角色沒有關(guān)系的人也可以登錄。此外，摩森康勝公司還需要對配置與解除配置、Web SSL、登錄、VPN和其它訪問點進行管理。

　　Schmitt對復(fù)雜性有著充分的認識。在數(shù)據(jù)中心上運行身份管理系統(tǒng)方面，Schmitt的經(jīng)驗是必須要搞清楚自己的系統(tǒng)和傳輸至云身份管理上的主數(shù)據(jù)元素。同時，他還確信自己擁有管理系統(tǒng)的密鑰，以防止提供商倒閉。

　　Schmitt權(quán)衡了云安全因素后認為學(xué)習(xí)身份管理將成為他手下員工們的一場噩夢。因為目前這些員工的壓力已經(jīng)很大了?！拔也荒苷f自己沒有對新系統(tǒng)任何擔(dān)心和懷疑。盡管這些云提供商的認證方式存在差異，但是公司內(nèi)部的身份管理系統(tǒng)與它們相比沒有任何優(yōu)勢?！?/p>

　　密切關(guān)注自己的數(shù)據(jù)平臺，評估使用云服務(wù)的風(fēng)險，然后確定它們是否能夠滿足公司的綜合需求。Brill稱，雖然云安全為決策帶來了一些顧慮，但是如果充分理解其中的風(fēng)險和它們影響公司的途徑，那么可以緩解這些顧慮。

　　正在制訂中的云安全標準

　　目前美國聯(lián)邦政府正在參與標準的制訂工作。美國聯(lián)邦風(fēng)險和授權(quán)管理項目（FedRAMP）試圖出臺一套云安全標準，以便于公司評估第三方云服務(wù)提供商。該標準目前還沒有被公布。觀察人士指出，F(xiàn)edRAMP還在緊張的討論中。

　　第二個方案是通用保障成熟度模型（CAMM），其目的是開發(fā)出一套評分系統(tǒng)。該系統(tǒng)與數(shù)據(jù)中心電源使用效率（PUE）并沒有太大的區(qū)別。Gartner的分析師Jay Heiser稱，雖然這一個第三方評估程序應(yīng)用前景不錯，但是目前已經(jīng)暫時了六個月時間。


?