在云棧的較低層,云安全問題與云計算時代來臨之前一模一樣。云平臺需要的安全只是操作系統(tǒng)的安全——避. . .
在云棧的較低層,云安全問題與云計算時代來臨之前一模一樣。云平臺需要的安全只是操作系統(tǒng)的安全——避免切入其他執(zhí)行會話或竊取數(shù)據(jù)的惡意代碼等等。
來自國外媒體消息,Thoran Rodrigues提出了關(guān)于云安全的討論并推翻了共同合作實現(xiàn)全面安全策略的三個必要元素。
云計算的安全問題是公司也是用戶最關(guān)心的話題之一。云安全的問題要比簡單地“云計算安全與否”要復(fù)雜得多。一個云計算應(yīng)用程序可以托管在一個數(shù)據(jù)被適當(dāng)加密的安全環(huán)境里,但是攻擊者仍能通過社會工程訪問到您的信息。另一方面,你可以擁有世界上最安全的密碼保護(hù)方式,但是一旦托管環(huán)境被攻擊,你仍會丟失數(shù)據(jù)。任何試圖解決今天存在的云安全問題的合適方式都必須涉及安全問題的三個方面:技術(shù)、過程和責(zé)任。另一個需要考慮的的重要因素則是這三者的細(xì)節(jié)和關(guān)鍵點互相緊密聯(lián)系,要進(jìn)行更改取決于我們所處的云棧位置。無論是對云平臺的安全水平要求上,還是在云基礎(chǔ)結(jié)構(gòu)的構(gòu)建上,創(chuàng)建安全的云軟件要求是十分不同的。
技術(shù)第一步就是要使用適當(dāng)?shù)募夹g(shù)來保障應(yīng)用和數(shù)據(jù)的安全。“適當(dāng)?shù)募夹g(shù)”在很大程度上取決于我們談?wù)摰脑茖臃N類。對于云應(yīng)用而言,安全可以很簡單,只需部署合適的安全證書并進(jìn)行加密。所有敏感信息需要被正確地加密,這樣可以使得當(dāng)攻擊者進(jìn)入你的系統(tǒng)時,他所盜取的信息仍需解密才能使用。但僅僅有加密密碼是遠(yuǎn)遠(yuǎn)不夠的:如你所知,人們常常使用生日日期作為密碼,同樣也對這樣的密碼加密。技術(shù)應(yīng)該盡可能地保護(hù)用戶免受其害。
這個空間里有一個十分有趣的解決辦法就是Porticor的虛擬專用數(shù)據(jù)。它的實質(zhì)是一個加密層,這個加密層被透明地安置在任何一個個云數(shù)據(jù)存儲區(qū)的頂部并執(zhí)行動態(tài)數(shù)據(jù)的加密解密,如:獲取訪問數(shù)據(jù)。我建議,如果你對云計算應(yīng)用程序有興趣,不妨看看他們的解決方案。
在云棧的較低層,云安全問題與云計算時代來臨之前一模一樣。云平臺需要的安全只是操作系統(tǒng)的安全——避免切入其他執(zhí)行會話或竊取數(shù)據(jù)的惡意代碼等等。在基礎(chǔ)結(jié)構(gòu)層中,安全不僅需要維護(hù)虛擬化的環(huán)境也需要保障人身安全。幸運(yùn)的是,大多數(shù)頂級的云端基礎(chǔ)架構(gòu)供應(yīng)商已經(jīng)具備了很強(qiáng)的安全意識,正在減少來自這一方面的危險。
程序如果一個攻擊者打電話給你的接待員,并利用她的網(wǎng)絡(luò)管理員密碼在你的公司網(wǎng)絡(luò)上安裝了惡意代碼,那么所有的技術(shù)都不能拯救你了。在使用云技術(shù)的案例中,這種可能的確真實存在于私人網(wǎng)絡(luò)中,而這樣的情況則不會發(fā)生在一家大型的企業(yè)里,發(fā)生在數(shù)量驚人的中小型企業(yè)里倒是有可能。
舉個例子,如果一個公司正在使用來自Rackspace的Windows云服務(wù)器,它會采用一個相當(dāng)復(fù)雜的密碼和已經(jīng)激活的自動更新的防火墻等等。——很多時候,人們在設(shè)定密碼時為了方便記憶,常常會采用諸如“password”,“Pass1234”之類的密碼。(因為一個安全密碼必須要包含大寫字母和數(shù)字)——并會創(chuàng)建一個不受保護(hù)的,鏈接到服務(wù)器的FTP通道,“僅僅是為了復(fù)制少量信息”。它的初衷是成為一個安全服務(wù)器,但現(xiàn)在卻變成了岌岌可危的安全漏洞。擁有合適的安全工具是遠(yuǎn)遠(yuǎn)不夠的。公司需要建立起一個能將這些工具付諸實踐的過程。
公司還低估了將正確的信息安全政策通知給全體員工的重要性。當(dāng)公司里的每個人都擁有安全意識的時候,真正的安全才能更快到來。安全的進(jìn)程并不始于技術(shù),而在于人,適當(dāng)?shù)摹⒊掷m(xù)的交流是根本。
責(zé)任到目前為止,我們談?wù)摰降倪@兩個方面都十分常規(guī)。然而,云應(yīng)用需要有比傳統(tǒng)的內(nèi)部應(yīng)用程序更強(qiáng)的安全意識,這項技術(shù)的發(fā)展需要相當(dāng)標(biāo)準(zhǔn)的附加安全。對于云安全服務(wù)器,同樣如此。論及責(zé)任,云安全和傳統(tǒng)安全有著巨大的差別。當(dāng)一個公司發(fā)展傳統(tǒng)的軟件時,IT知道它的責(zé)任。數(shù)據(jù)中心運(yùn)作和控制著軟件,然而任何可能都會發(fā)生——數(shù)據(jù)被盜,服務(wù)器被攻擊等等。這就是他們的責(zé)任。自從IT對環(huán)境有了完全的控制權(quán),他們就自然而然地?fù)?dān)負(fù)起了這樣的責(zé)任。
當(dāng)這一切放在云計算上,IT部門就會失去對環(huán)境的控制。這很好理解。接著,他們不愿意為即將發(fā)生的問題負(fù)責(zé)。有明確的責(zé)任分工可以有助于:托管供應(yīng)商需要確保安全的基礎(chǔ)平臺(虛擬化層、人身安全等等)。其余部分的責(zé)任將落在客戶身上。但是這還不夠。供應(yīng)商需要提供風(fēng)險保障,了解內(nèi)部IT部門的來歷并改善關(guān)系,減輕他們的焦慮。
綜述這些方面的因素都需要放在一起考慮,否則我們就得承擔(dān)創(chuàng)建一個比現(xiàn)在更復(fù)雜的環(huán)境的風(fēng)險。某種程度上說,通過提供福利或者讓常規(guī)的安全管理自動化,云有能力讓一切變得更安全。另一方面,數(shù)據(jù)集中在少有的幾個服務(wù)提供商手里能增加項目的吸引力,增加這些公司的責(zé)任感。
不是僅關(guān)注技術(shù),程序或是合同某一項,就可以消除云的安全隱患,每個關(guān)心云計算的人都應(yīng)該看到整個安全方案而不是某個環(huán)節(jié)。
(來源:IT專家網(wǎng))
