早在2011年我在舊金山舉行的年度信息安全大會RSA Conference上做新聞報道時,問過與會人士:“安全領(lǐng)域炒得最火的話題是什么?”
大家無一例外地回答:“云計算”。
四年前����,云計算可能炒作過頭���,不過如今它卻是必不可少的業(yè)務(wù)驅(qū)動因素�。遺憾的是����,由于對有效使用的認識存在著混淆,導(dǎo)致業(yè)界出現(xiàn)了一系列誤區(qū)���,常常讓許多CIO惴惴不安�。
哪些是不斷流傳的云安全誤區(qū)?哪些才是真相?下面是行業(yè)專家們要說的話��。
1. 云天生就不安全�����。
Mimecast公司的網(wǎng)絡(luò)安全專家Orlando Scott-Cowley認為:“一直流傳甚廣的最大誤區(qū)就是,你放在云端的數(shù)據(jù)不安全��。這年頭外面仍有大批的服務(wù)器擁躉���,他們聲稱數(shù)據(jù)放在自己的網(wǎng)絡(luò)上來得更安全;他們在服務(wù)器機房里能切實地控制服務(wù)器���,看著小小的指示燈閃爍,覺得很放心���。”
Softchoice公司的技術(shù)服務(wù)經(jīng)理Tim McKellips說:“對于不在自身控制范圍之內(nèi)的東西�����,人們自然往往覺得天生不太安全��。我認為��,微軟等云服務(wù)提供商正在付出巨大的努力���,以一種普通客戶無法做到的方式確保云環(huán)境安全。”
眾多專家提出了這個根深蒂固的誤區(qū),認為相比普通企業(yè)���,云服務(wù)提供商擁有更強的專業(yè)性和更多的技術(shù)人員�。
LiquidHub公司的合伙人兼全球Salesforce業(yè)務(wù)負責(zé)人Brennan Burkhart說:“云服務(wù)公司正開始大規(guī)模地投入����,規(guī)模之大是任何一家企業(yè)組織所無法比擬的�。”
Nimbix公司的首席技術(shù)官Leo Reiter補充說:“網(wǎng)絡(luò)安全稱得上是云服務(wù)公司的立足之本,而另外大多數(shù)企業(yè)組織通常并不將安全列為是核心競爭力之一�����。”
Whatisitwellington網(wǎng)站的作者兼IT顧問Ian Apperley另補充道:“云計算提升了貴企業(yè)的安全;如果貴企業(yè)自己來搞���,根本負擔(dān)不起因此需要的成本����。這要歸功于云的規(guī)模經(jīng)濟效應(yīng)���。”
2.云安全爭論很簡單���。
ISG公司的首席顧問Scott Feuless認為:“最大的誤區(qū)是,云安全問題實在太簡單了�����。”
“云不大安全”這個觀點沒有考慮到?jīng)Q定部署云服務(wù)所涉及的許多變化因素,比如貴企業(yè)的規(guī)模����、現(xiàn)有的內(nèi)部專長、你的競爭對手有哪些���、是否需要為每一次部署執(zhí)行滲透測試以及貴企業(yè)的擴展需要��。
沒必要將云看作是只能二擇其一的決定��。Netskope公司的首席執(zhí)行官兼創(chuàng)始人Sanjay Beri說:“這不是‘是或不’或者‘允許或禁止’的問題���。正是由于無所不在的API(應(yīng)用編程接口),現(xiàn)在有一些工具和功能讓IT人員能夠在許多環(huán)境下確保云安全��,滿足用戶的獨特要求��。”
3. 云端數(shù)據(jù)泄露事件更多��。
這個誤區(qū)再次讓一個非常復(fù)雜的問題簡單化了��。據(jù)《2014年春天Alert Logic公司云安全報告》聲稱,內(nèi)部服務(wù)提供商和云主機托管服務(wù)提供商(CHP)都發(fā)現(xiàn)從2012年到2013年���,漏洞掃描的數(shù)量急劇增加��,CHP的增幅略高一點�����。但是內(nèi)部環(huán)境受攻擊的風(fēng)險要高得多,這取決于攻擊類型��,比如惡意軟件和僵尸網(wǎng)絡(luò)�。
KEMP科技公司的產(chǎn)品線管理主管Jason Dover說:“對私有云基礎(chǔ)設(shè)施和服務(wù)提供商網(wǎng)絡(luò)而言,互聯(lián)網(wǎng)威脅完全是同樣大的風(fēng)險�。”
Huddle公司的總裁兼聯(lián)合創(chuàng)始人Alastair Mitchell說:“如果實施了預(yù)防和檢測攻擊的正確的安全政策,攻擊對云構(gòu)成的威脅其實與對基礎(chǔ)設(shè)施的其他任何部分構(gòu)成的威脅一樣小�。”
ASG軟件解決方案公司云部門產(chǎn)品管理副總裁Torsten Volk特別指出:“公有云提供商通常雇有一支技術(shù)過硬的安全專業(yè)團隊,它們還擁有規(guī)模經(jīng)濟效應(yīng)��,有能力購置最先進的專業(yè)安全設(shè)備����。它們的聲譽維系于此。”
4. 對數(shù)據(jù)擁有物理控制意味著安全�。
Splunk公司的Splunk Cloud主管Praveen Rangnath說:“云安全方面的最大誤區(qū)是,控制是安全或者說是缺乏安全的基礎(chǔ)。其實����,可見性才是基礎(chǔ)。”
NaviSite公司的總經(jīng)理Sumeet Sabharwal補充說:“過去幾個月諸多的重大安全事件足以表明���,數(shù)據(jù)的物理位置不如訪問及相關(guān)控制措施來得重要�����。”
CliQr公司的企業(yè)開發(fā)執(zhí)行副總裁David Cope表示�,相信數(shù)據(jù)位置誤區(qū)讓注意力偏離了較為常見的攻擊途徑�����,比如利用人性弱點和惡意軟件��。他提到����,韋里遜公司(Verizon)的《2014年數(shù)據(jù)泄露調(diào)查報告》就是這一安全威脅趨勢的佐證。
5. 保持云安全要困難得多����。
Flux7公司的首席執(zhí)行官Aater Suleman說:“我們在安全方面常常碰到的一大誤區(qū)就是����,在云端保持安全要比在企業(yè)內(nèi)部保持安全來得困難�����。”
WatchGuard公司的安全戰(zhàn)略和研究主管Corey Nachreiner特別指出:“最終��,‘云’完全就是別人的網(wǎng)絡(luò)����。”
Suleman繼續(xù)說:“相信這個誤區(qū)導(dǎo)致許多公司不是以業(yè)務(wù)需求的名義危及安全,就是盡量讓關(guān)鍵任務(wù)型應(yīng)用系統(tǒng)不使用云�����。”
Denny Cherry & Associates Consulting公司老板兼首席顧問Denny Cherry強調(diào)����,其實安全問題很相似����。“SQL注入攻擊(系統(tǒng)面臨的最大安全風(fēng)險)仍是云環(huán)境面臨的一個問題,但可以用與內(nèi)部環(huán)境一模一樣的方法來解決����。無論是面對云服務(wù)提供商還是面對內(nèi)部系統(tǒng)�,防火墻配置��、滲透測試和VPN等都完全一樣重要�����。”
6. 你可以在云應(yīng)用程序周圍豎起邊界����。
Cohesive Networks公司的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Patrick Kerpan說:“由于應(yīng)用程序遍布互聯(lián)網(wǎng),如果企業(yè)認為可以在自己的所有應(yīng)用程序周圍豎立起邊界�����,那它準是瘋了����。”
Sookasa公司的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Asaf Cidon補充道:“即便面對云,人們?nèi)匀粡幕诰W(wǎng)絡(luò)的安全這個角度來考慮問題����。他們?nèi)栽噲D利用反向代理和防火墻來保護自己的網(wǎng)絡(luò)、遠離云���。”
Kerpan繼續(xù)說:“安全應(yīng)該延伸到每一個企業(yè)應(yīng)用程序�����。”
Fluke Networks公司的安全分析師Greg Rayburn也表示:“需要多層安全防線來對付黑客�����。根本不存在哪一種高招���。”
CMI公司的解決方案副總裁Tim Cuny說:“邊界因云而延伸����,邊界已經(jīng)因移動技術(shù)和物聯(lián)網(wǎng)而支離破碎����。應(yīng)當(dāng)擯棄保護網(wǎng)絡(luò)邊界這個舊觀念��,將注意力放在一項全面的風(fēng)險管理計劃上�����,致力于從人員���、流程和技術(shù)的角度來保護資產(chǎn)���。”
7. 我不用云����,所以得到了更好的保護�����。
盡管許多人可能試圖自欺欺人地認為自己不用云��,但我們都上網(wǎng)���,都面臨許多同樣的威脅�。
Harmony科技公司的總裁Peter Landau認為:“如果你的系統(tǒng)連接到互聯(lián)網(wǎng)�����,那么你已經(jīng)在云上�����。”
CloudCamp公司的聯(lián)合創(chuàng)始人Dave Nielsen補充道:“最大的安全威脅就是將任何設(shè)備(筆記本電腦等)連接到公共互聯(lián)網(wǎng)����,或者將任何軟件部署到公共互聯(lián)網(wǎng)上���。”
8. 可以遏制影子IT。
SysAid科技公司的首席執(zhí)行官Sarah Lahav說:“無法避免員工自行購置云服務(wù)給安全帶來的影響或后果����。”
不過,雖然IT部門無法控制IT消費化���,但是一旦出了任何技術(shù)問題����,IT部門仍難逃其責(zé)���。
Fluke Networks公司的首席技術(shù)官Bruce Kosbab說:“業(yè)務(wù)用戶遇到應(yīng)用程序性能糟糕的情況時(包括SaaS應(yīng)用程序方面的性能問題)�,IT部門就要擔(dān)負責(zé)任�����,解決問題����,盡管IT部門可能與所使用的基礎(chǔ)設(shè)施毫無瓜葛。為了避免這種情況����,IT和業(yè)務(wù)部門必須通力合作。”
CloudTweaks網(wǎng)站的資深作者Steve Prentice補充道�����,充分代表各部門的管理層(包括首席執(zhí)行官)必須對云安全政策的設(shè)計��、部署和維護負責(zé)���。
9. 云安全完全是云服務(wù)提供商的責(zé)任�����。
RiskIO公司的戰(zhàn)略副總裁Jeff M. Spivey說:“一個常見的誤解是�����,云服務(wù)提供商自然而然滿足客戶數(shù)據(jù)和流程的所有安全要求�。”
Avail Partners公司的執(zhí)行合伙人Scott Maurice說:“就因為獲得了針對云工作流程制定����、實施和執(zhí)行安全措施的工具�,并不天生可以規(guī)避攻擊或危害活動數(shù)量增加引起的業(yè)務(wù)風(fēng)險����。”
ASG公司的Volk補充說:“密碼政策、軟件補丁的發(fā)布管理����、用戶角色管理、人員安全培訓(xùn)和數(shù)據(jù)管理政策�����,這些都是客戶需要擔(dān)負的責(zé)任����,起碼與公有云提供商所做的安全工作一樣重要。”
就在你加固內(nèi)部安全的同時���,別想當(dāng)然地以為云服務(wù)提供商備份你的數(shù)據(jù)���,萬一出現(xiàn)安全泄密事件,它能夠恢復(fù)數(shù)據(jù)��。
Galeas Consulting公司的總裁Bruno Scap說:“實施將放在云端的數(shù)據(jù)備份到本地備份系統(tǒng)或另一家云服務(wù)提供商的備份解決方案,這一點大有幫助����,也至關(guān)重要�����。此外����,為了防止安全泄密,你可能需要從已知干凈的備份來恢復(fù)數(shù)據(jù)���。”
10. 你不需要管理云����。
Oildex公司的軟件工程副總裁Michael Weiss說:“許多人以為���,由于云基礎(chǔ)設(shè)施常常根本上就是一項托管服務(wù)�����,服務(wù)的安全同樣受到管理����。許多基于云的系統(tǒng)之所以無意間變得不安全,是因為客戶不知道自己需要采取一些措施來確保安全���,因為他們以為提供商做了內(nèi)部安全人員傳統(tǒng)上在默認情況下會做的工作���。”
Zensar科技公司的助理副總裁兼云專家David Eichorn說:“任何數(shù)據(jù)中心需要什么樣的安全機制,云安全就需要同樣一套機制����。云數(shù)據(jù)中心與任何數(shù)據(jù)中心一樣具有彈性,不過要是相
