ZDNET至頂網(wǎng)安全頻道 3月22日 編譯:Forrester Research近日調(diào)查發(fā)現(xiàn)���,歐洲58%的企業(yè)技術(shù)決策者認(rèn)為是否采用IaaS技術(shù)最大的問題在于安全性。
而據(jù)分析,包括以上擔(dān)憂在內(nèi)���,各種安全性問題成為了企業(yè)選擇IaaS的最大障礙。目前僅有2%的歐洲企業(yè)采用了IaaS�����,與2009年的調(diào)查數(shù)據(jù)相同�����。
Forrester Research 的分析人員James Staten 認(rèn)為,企業(yè)沒有必要因為擔(dān)憂安全問題而拒絕使用新技術(shù)�����。
在回答ZDNet的采訪時�����,Staten表示����,目前云服務(wù)供應(yīng)商所實現(xiàn)的安全性等級普遍高于一般企業(yè)數(shù)據(jù)中心的安全性等級��,因為對于云服務(wù)提供商來說�,安全性是他們所提供的所有服務(wù)的基礎(chǔ)。
Staten 認(rèn)為���,對于云計算安全性的擔(dān)憂更多的是心理問題����,他說:“大多數(shù)企業(yè)對于云服務(wù)的安全性都有疑慮�,因為他們不知道在云環(huán)境中是如何確保安全性的,同時他們對于自己的數(shù)據(jù)流傳到防火墻外并存儲在一個共享的服務(wù)中這件事本身就感到恐懼�。通過一些時間讓他們了解云計算是如何實現(xiàn)安全性的����,他們的大部分恐懼就會消失了�����?��!?/P>
維護(hù)數(shù)據(jù)安全人人有責(zé)
拋開云服務(wù)供應(yīng)商所提供的優(yōu)質(zhì)安全保障服務(wù)不談����,企業(yè)本身也需要通過各種手段確保自身數(shù)據(jù)在傳送到IaaS服務(wù)器過程中的安全���,Staten說:“最重要的是�����,企業(yè)必須明白維護(hù)數(shù)據(jù)安全并不只是云服務(wù)供應(yīng)商一個人的責(zé)任��?���!?/P>
IaaS 供應(yīng)商只能確保虛擬機(jī)環(huán)境中的數(shù)據(jù)安全。一旦數(shù)據(jù)脫離了IaaS環(huán)境���,客戶就要對數(shù)據(jù)安全性承擔(dān)責(zé)任了�����。
Staten 表示:“無論你將什么數(shù)據(jù)放入虛擬機(jī)中�,你都要首先確保它是安全的�����。我們看到的很多問題并不是由云服務(wù)供應(yīng)商造成的�,而是客戶自己留下了開放的端口����,僅設(shè)置了過于簡單的密碼或登錄機(jī)制。典型的安全問題都是由于缺乏安全知識�,缺乏安全經(jīng)驗,或者某些錯誤假設(shè)而引起的��?!?/P>
加密數(shù)據(jù)是解決這種問題的一個明顯的方案,但是Staten指出���,這么做會讓數(shù)據(jù)變得更難以處理�����。他說:“加密是客戶解決安全問題的一個工具���,但是更重要的工具是重新檢查安全策略�����,并對相關(guān)員工進(jìn)行安全培訓(xùn)�?�!?/P>
由于很多由程序制造的數(shù)據(jù)集并沒有正確的安全配置���,因此讓開發(fā)人員意識到這個問題的嚴(yán)重性�����,就是解決數(shù)據(jù)安全的關(guān)鍵����。
如何解決合規(guī)問題
除了數(shù)據(jù)安全問題���,企業(yè)還需要確保他們輸入IaaS環(huán)境的數(shù)據(jù)�����,以及所選擇的服務(wù)供應(yīng)商符合政策和監(jiān)管的要求���,能夠滿足諸如Sarbanes-Oxley這樣的法規(guī)����。
“如果你不能通過監(jiān)管�,或者你所提供的信息不夠透明,無法滿足監(jiān)管部門的要求�����,那么根本就無法開始使用云服務(wù)�。而就算云服務(wù)是安全的�����,如果服務(wù)供應(yīng)商無法給你提供服務(wù)日志�����,或者不能向你提供運行規(guī)范流程,那么監(jiān)管部門也是不會承認(rèn)這是合法的云服務(wù)平臺�����?���!?/P>
因此CIO 需要確認(rèn)IaaS供應(yīng)商是否具備合法資質(zhì),或者能否提供監(jiān)管部門所需的各種認(rèn)證信息���。
解決隱私問題
Staten 表示���,隱私問題也是企業(yè)應(yīng)該考慮的一個方面,因為歐洲和美洲的法規(guī)不同�����,隱私問題可能會給企業(yè)帶來麻煩�����。
比如 US Patriot Act法案中規(guī)定���,允許美國政府官員從注冊在美國的云服務(wù)器供應(yīng)商那里收集被認(rèn)為有可以活動的數(shù)據(jù)���。
Patriot Act法案適用于所有美國公司����,因此��,就算數(shù)據(jù)被存儲在歐洲���,而由美國公司負(fù)責(zé)提供云服務(wù)�����,那么美國政府也是有權(quán)獲取數(shù)據(jù)的�����。因此�����, Amazon位于愛爾蘭的數(shù)據(jù)中心也在美國的法律范圍內(nèi)。
Staten 補充說:“也許你所作的各種工作都是合法的���,但是假如你的數(shù)據(jù)與美國政府所監(jiān)控的某幾個人的數(shù)據(jù)存放在了相同的存儲區(qū)域內(nèi)����,當(dāng)美國政府查封那些人的數(shù)據(jù)時,就連你的數(shù)據(jù)一起被查封了�����?!?/P>
Staten 表示,企業(yè)很少收到數(shù)據(jù)被查封的警告���,因此他們無法及時將那些不被政府監(jiān)控的用戶數(shù)據(jù)從該存儲區(qū)域移動出來���,這意味著相應(yīng)的部分?jǐn)?shù)據(jù)從理論上講丟失了。
雖然目前云服務(wù)商還沒有遇到過這樣的情況����,但是Staten認(rèn)為這是遲早的事兒,因此企業(yè)應(yīng)該在一個非云環(huán)境中對企業(yè)數(shù)據(jù)進(jìn)行再次備份�����,以便當(dāng)云環(huán)境中的數(shù)據(jù)出現(xiàn)任何問題時����,可以保證損失在可控范圍內(nèi)����。
還有一個需要注意的問題��,即兩國間或一個公司與一個國家間的安全港協(xié)議��,通過某種符合雙方法規(guī)的方式存儲數(shù)據(jù)���。Staten認(rèn)為���,如果是國與國之間的協(xié)議,那么可靠性較高��,如果是國家與企業(yè)間的協(xié)議�����,那么可靠性就較差了�,因為其它國家政府如果需要獲取相關(guān)數(shù)據(jù),完全可以跨過這個協(xié)議�。
涉及到IaaS,企業(yè)總是需要訪問不同類型的重要信息����。 Staten 認(rèn)為,企業(yè)需要針對不同的應(yīng)用類型創(chuàng)建簡單的風(fēng)險預(yù)測�,包括數(shù)據(jù)存儲類型,以及有關(guān)如何對待該應(yīng)用的開發(fā)策略�����。
其他問題不應(yīng)被夸大
據(jù)Forrester Research表示����,歐洲企業(yè)好像對于IaaS的擔(dān)憂比美國企業(yè)更多。
Staten認(rèn)為���,這是因為IaaS技術(shù)在歐洲的發(fā)展應(yīng)用相對滯后引起的�����。歐洲企業(yè)更傾向于先把安全問題都解決好�����,再去實施該技術(shù)�����。
除了安全問題����,歐洲企業(yè)對于架構(gòu)即服務(wù)型云技術(shù)的效果也有所懷疑,他們擔(dān)心運供應(yīng)商無法按照所承諾的實現(xiàn)低成本高效率的應(yīng)用服務(wù)���。
Staten表示�����,除非服務(wù)被用在了企業(yè)原先并沒設(shè)計的用途上���,才會出現(xiàn)這種情況,他說:“如果企業(yè)正確使用了云服務(wù)�����,那么云服務(wù)無疑會幫助企業(yè)降低運營成本�。而如果企業(yè)使用不當(dāng),那么就不能降低成本�����,有時候反而還會增加企業(yè)的成本�。”
比如,企業(yè)的一套系統(tǒng)如果需要永久運行����,那么采用公共IaaS云服務(wù)的成本將高于企業(yè)在自己的數(shù)據(jù)中心運行該系統(tǒng)的成本���。
但是����,對于那些系統(tǒng)需求程度時高時低的應(yīng)用程序和處理過程來說���,IaaS可以大大降低成本����,而企業(yè)只需要向服務(wù)供應(yīng)商支付使用服務(wù)使用費即可��。
Staten 說:“對于以小時為周期的程序來說�����,IaaS可以降低成本�,而如果程序一整個月都需要持續(xù)不斷的運作�,那么成本就太高了?��!?/P>
Forrester Research 的調(diào)查顯示出人們的另一點擔(dān)憂,即IaaS還不夠成熟����。
Staten認(rèn)為,雖然一些服務(wù)商已經(jīng)經(jīng)營多年了���,比如 2003年出現(xiàn)的Amazon Web Services ,但 IaaS 仍然處于發(fā)展中��。
為了讓企業(yè)避免因使用不成熟的技術(shù)而遭到攻擊���,F(xiàn)orrester 建議企業(yè)每半年對云服務(wù)供應(yīng)商進(jìn)行評估,確保他們所提供的云服務(wù)與企業(yè)需求相匹配�。
Staten 表示:“在談?wù)撈髽I(yè)安全的時候,云服務(wù)供應(yīng)商無論何時都不可能給企業(yè)百分之百的安全承諾���。企業(yè)CIO們所要做的是找出此次云服務(wù)投資項目的平衡點,即企業(yè)所能接受的風(fēng)險和安全性之間的折中點��。這個折中點對每個企業(yè)來說都是不同的?����!?/P>
