公共云计算的十大安全风险及建议 |
发布时间: 2012/8/8 20:03:47 |
中国IDC评述网10月21日报道:公共云计算风险非常多,绝对不止十个。专业机构和CIO们正在整理风险列表,以加强他们对公共云的把控,公共云将继续渗透到企业IT环境中,不管他们愿不愿意。
一些关于公共云计算的重要风险清单非常广泛而且复杂,比如:云安全联盟整理的云计算重要风险1.0版。大部分风险清单中会包含下面这些项:
1、网络安全
从IT管理人员的关注程度看,这一条仍然是遥遥领先占据第一位。这一条还包括一些数据保护和隐私子分类,来自软件即服务(SaaS)供应商的物理安全和应用安全,还有过度宣传泄露。
Steve MacLellan是波士顿富达科技集团金融服务企业架构高级副总裁,他说,大家不要相信“相信我,我是SaaS-y”的市场。他还补充说,一定要问清他们安全方面的策略,视察他们的数据中心,确保数据在物理上是安全的。
然后,尽自己的努力来保护数据。Peter Toth是总部位于新泽西州普林斯顿北美Gfk定制研究所(德国研究和开发公司Gfk集团的一个部门)的IT运营经理,他说:“我们确保我们的数据离开时是加密的,这是在发生问题之前就在数据中心完成的。”
对于另一部分人,安全不再是云计算中的一个威胁,而是别人自己后院里的事。Rich Mogull是总部位于菲尼克斯的咨询机构Securosis有限责任公司的CEO和分析师,他说:“我想说的是云(甚至公共云)并不是生来就比你的内部环境更安全或者更不安全,这完全取决于采用了什么样的控制以及你如何实施它们。”
2、身份管理
密码是个问题,尤其是因为破坏分子现在拥有了计算能力来搞破坏(有意思的是,他们可以使用公共云的计算能力)。联邦政府正着手开发联邦ID生态系统,它可以保护避免受到网络破坏分子的侵害。本月早些时候,奥巴马政府宣布它将创建一个网络中可信的身份程序,由新成立的“国家计划办公室”领导,该机构归国家商务部领导。
3、法规遵从
就边界而言,它们实际上可能是虚拟的,但是它们也可能是物理存在的。新规定对金融服务,医疗保健以及保险业物理数据驻留在哪里以及保留多久都做了限制。MacLellan说:“确实,我们也听说了一些(关于遵从这些新规定的消息),规定的环境多少有点不太友好”,可能反驳了‘云是一个自由贸易区’这一观念。例如,一些信息可能不能跨越国家边界,但是,它几乎不可能知道公共云数据保存在哪里。此外,Drue Reeves是Gartner公司副总裁以及知名分析师,他认为,负担在云客户身上,他们要确保云供应商遵守影响他们公司数据的规定。
4、数据集成
在使用公共云服务时有一个风险,就是如何在云竖井中自然地整合数据。利用企业后端系统集成驻留在云服务中的数据不是一件轻松的事。尤其是在企业没有经历过组织级信息集成挑战的情况下。James Staten是马萨诸塞州剑桥Forrester研究公司副总裁兼首席分析师,他认为,已经把他们的数据设置的足够方便跨多个平台使用的公司处在最佳位置,可以发挥云服务的全部优势。
按照EMC公司信息优势领导委员会(一个IT主管组织,其成员主要讨论云计算中的挑战)的观点:养成加密数据的习惯也非常重要,还要标记稳定的数据并巩固存储资产库。该组织建议,要彻底避开大量的集成工作,要先尽量限制必须支持的云平台数量。
云专家们还建议,采用ETL(抽取,转换,加载)工具可以简化数据从一种格式到另一种格式的转换。目标是把信息转换成一种通用格式——最可能转换成可扩展标记语言(或者叫XML)——这样数据就更容易移动和搜索了。
5、厂商锁定
这个棘手的问题归结为,在不同云服务供应商之间标准互操作性的变革问题。我们假定你不喜欢你公共云供应商的策略变化,想选择另一家供应商。在这种情况下,云可能会出现众所周知的巴别塔问题,尽管许多供应商正在提供更好的互操作性。微软的Azure平台本来是直接连到。NET的,现在也有一个开源软件开发工具包支持开发者使用PHP脚本语言;而Salesforce.com公司一度专用的Force.com开发平台也支持Java应用开发了。
Tom Bittman是Gartner公司的著名分析师,他声称目前涉足云服务的这样或那样的供应商有一万家。他说:“需要有人帮助我们从中判断”,并给企业“拿拿注意”。他预计,云经纪人作为新的系统集成者数量会上升,他们会帮助企业在后端系统和云服务之间做数据集成。他还预测,到2015年,20%的云服务将会通过云服务代理人进行,而不是直接交互,目前这个比例是5%。
这种“同声同气”也可能是云服务供应商之间整合的结果。随着竞争日趋激烈,较小的供应商不见得一定会失败。按照Bittman的观点选择正确的供应商是IT主管今年要做的关键决策之一。他说:“我们看到有的供应商倒闭了,数据也随之丢失了。”
6、可管理性
云服务可能并没有提供与企业预期一致的管理水平。按照一些CIO的观点,这种想法是对按需定制和云应用程序单方面的,端对端的看法。其中包括Gainsco公司CIO Phil West,该公司是总部位于达拉斯俄一家非标准汽车保险供应商。去年秋天,包括Vizioncore(现在是Quest软件公司的一部分),Veeam软件公司,LogMeIn公司,Precise软件解决方案公司,Compuware公司以及微软在内的一些供应商发布了监视工具,计划为企业对云服务提供端对端的可见度。
7、可用性
企业不能忍受服务中断,不管什么原因,从带宽限制到分布式拒绝服务(DoS)攻击都不行。Lalitendu Panda是总部位于日本的D&M控股公司的全球CIO,他说:“这都是关于质量的问题,不是关于低成本服务的问题。服务中断是一个问题;我们有几种‘情况’。希望你自己拥有(基础设施)并且你自己能修改是不现实的。你完全没法控制运行在云中的其他应用,它们会导致云服务性能降低。”
8、共享资源
由于公共云多租赁的性质,会有许多公司共享一套基础设施的资源。Drew Bartkiewicz是CyberRiskPartners有限责任公司(纽约一家云保险供应商)的CEO,他认为对共享同一个云资源的所有“住户”的依赖造成了一个潜在的灾难性风险。他说:“公共云供应商只会通过合同来转移风险,并且祈祷灾难不要发生在自己身上来。”
Tanya Forsheit是InfoLawGroup有限责任公司的合伙创始人,她认为,另一方面,云服务的关键在于你共享了空间。她说:“如果你继续使用(公共)云,你必须接受这一事实,否则你就用私有云独立保留数据吧。”
9、法律二义性
事实是,云服务中的责任并不是非黑即白,这是由于缺少这类公共案例可以作为先例参考。Gartner公司的Reeves说,如果某一家公共云计算供应商出了监管问题丢失了数据,那么该供应商应该分担责任。他还说:“IT组织应该在他们的合同中明确写清,供应商理解制度监管问题并且会承担责任。如果他已经告诉供应商数据需要什么服务了,为什么消费者还要承担所有责任?”他还补充说,云服务中的责任划分问题目前还在发展阶段;供应商们在服务连接中断时可能免受托管费,但是对业务损失没有连带赔偿。在尘埃落定之前,设想一下云保险代理商营造的新生态系统吧。
10.没有回头路
这与其说是风险,还不如说是考虑现实。因为处在IT战壕的人们担心的是,一旦企业采纳了公共云计算,他们会失去什么。Danny Jenkins是德州Plano的J.C. Penney公司黑莓管理员,他说:“一旦你走出私有空间,进入公共云服务,你需要或者再想回头几乎是不可能的。”这里的风险在于,你“放弃了你自己内部的知识基础。” 本文出自:亿恩科技【www.enkj.com】 |