盡管云計(jì)算在企業(yè)的采用率有所增加,但許多主管還是小心翼翼,不敢將數(shù)據(jù)遷移到云端。雖然他們不愿采用云主要源自安全和隱私方面的問(wèn)題,但是那些擔(dān)心并非總是有根有據(jù)。
TierPoint LLC是一家總部位于圣路易斯的云和主機(jī)托管服務(wù)提供商,首席安全官Paul Mazzucco表示,實(shí)際上,許多企業(yè)組織擔(dān)心云安全基本上歸因于誤區(qū)。Mazzucco在近日于紐約召開(kāi)的云計(jì)算博覽會(huì)上表示,尤其是下列四大誤區(qū)讓主管們夜不能寐。
第一大誤區(qū):云端數(shù)據(jù)天生就不大安全。
Mazzucco表示,許多主管誤以為放在云端的數(shù)據(jù)要比放在企業(yè)內(nèi)部的數(shù)據(jù)來(lái)得岌岌可危。
與此同時(shí),最近重大數(shù)據(jù)泄露事件紛紛傳出之后,業(yè)務(wù)主管們?cè)谄髽I(yè)內(nèi)部圍繞云安全展開(kāi)越來(lái)越多的討論,這些問(wèn)題越發(fā)讓人憂心忡忡。
Jon Williams是總部位于南卡羅來(lái)納州格林維爾的律師事務(wù)所Ogletree Deakins的區(qū)域支持主管。他說(shuō):“我們有一個(gè)技術(shù)委員會(huì),其成本基本上是我們事務(wù)所的幾位大股東,他們根本就不是IT人員。如今所有這些IT決策都要受到審批,我們會(huì)把想法告訴給他們,他們也把想法告訴我們。不過(guò)他們其實(shí)在一個(gè)勁地挑剔、提出問(wèn)題。”
Mazzucco表示,盡管業(yè)務(wù)主管們很擔(dān)心,但數(shù)據(jù)在云端通常要比在企業(yè)內(nèi)部來(lái)得安全。這是由于,絕大多數(shù)云服務(wù)提供商一開(kāi)始就將安全(常常使用多層次方法)納入到其基礎(chǔ)設(shè)施中。
將數(shù)據(jù)遷移到云端還減小了影子IT的風(fēng)險(xiǎn)。所謂的影子IT是指,用戶繞過(guò)IT部門,訪問(wèn)未經(jīng)批準(zhǔn)的云應(yīng)用程序。
Mazzucco表示,大多數(shù)主管以為本公司運(yùn)行的基于云的應(yīng)用程序至多不超過(guò)50個(gè),而企業(yè)實(shí)際使用的云應(yīng)用程序平均超過(guò)500個(gè)。制定一項(xiàng)正式的云戰(zhàn)略讓IT部門擁有更大的透明度和控制度。
第二大誤區(qū):安全戰(zhàn)略可以等一等。
自任何云部署項(xiàng)目一開(kāi)始,制定云安全戰(zhàn)略就應(yīng)該是業(yè)務(wù)部門和IT部門關(guān)注的首要事項(xiàng)。據(jù)Mazzucco聲稱,在部署后打上安全補(bǔ)丁了事是沒(méi)有哪家公司愿意冒的風(fēng)險(xiǎn)。
他說(shuō):“這是現(xiàn)在得趕緊采取的措施。”
即便企業(yè)組織已落實(shí)了適當(dāng)?shù)陌踩胧⑶彝ㄟ^(guò)服務(wù)級(jí)別協(xié)議(SLA)確保云服務(wù)提供商同樣落實(shí)了適當(dāng)?shù)陌踩胧?,日常監(jiān)控和報(bào)告也應(yīng)該總是一個(gè)優(yōu)先事項(xiàng)。
第三大誤區(qū):通過(guò)認(rèn)證的云服務(wù)提供商保證數(shù)據(jù)肯定能得到保護(hù)。
許多企業(yè)組織完全憑借云服務(wù)提供商擁有的合規(guī)或監(jiān)管認(rèn)證數(shù)量來(lái)評(píng)估對(duì)方的安全模型。Mazzucco提醒,但不應(yīng)該是這樣。相反,IT部門應(yīng)該總是“進(jìn)入到下一個(gè)階段”,評(píng)估提供商的云環(huán)境。
他說(shuō):“總是要核實(shí)提供商向你出示的合規(guī)認(rèn)證。”
為此,企業(yè)應(yīng)該對(duì)提供商進(jìn)行獨(dú)立的安全評(píng)估,或者請(qǐng)第三方開(kāi)展這項(xiàng)工作。首先,要參照云安全聯(lián)盟的《共識(shí)評(píng)估倡議調(diào)查問(wèn)卷》(Consensus Assessment Initiative Questionnaire),它列出了云用戶和審查人員應(yīng)當(dāng)詢問(wèn)潛在云服務(wù)提供商的一系列問(wèn)題。
此外,企業(yè)組織應(yīng)該總是要求提供商的安全實(shí)踐/做法至少有一定的透明度,并且盡可能在SLA中加以注明。
第四大誤區(qū):弄好后就不用管。
正如IT部門不應(yīng)該在部署后胡亂拼湊安全戰(zhàn)略那樣,它們也不能在投入使用后就忘了該戰(zhàn)略。
Mazzacco表示,可靠的云安全模型應(yīng)該不斷完善。它應(yīng)該需要多層次方法,需要日常的高級(jí)威脅檢測(cè),需要實(shí)時(shí)警報(bào),還需要一致的監(jiān)控和報(bào)告機(jī)制。不斷更新反病毒和反惡意軟件技術(shù)在云環(huán)境下應(yīng)當(dāng)與在內(nèi)部環(huán)境下來(lái)得同樣要緊。
Mazzucco說(shuō):“說(shuō)到云安全,過(guò)去那種‘眼不見(jiàn)心不煩’的心態(tài)很危險(xiǎn),要不得。當(dāng)然,讓一支專設(shè)的小組查看計(jì)算環(huán)境的所有層次、所有日志以及安全環(huán)境的方方面面,這比老方法要好得多。”
英文:Four cloud security myths debunked