云計算的安全性能七宗“罪”
http://m.sharifulalam.com 2013-04-07 17:03 來源:中國自動化學會專家咨詢工作委員會
在微軟、IBM等美國公司的鼓噪下,云計算成為被炒上了天的“高新技術”。實際上,云計算不過是應用模式的轉變,遠不是這些鼓吹者所描繪的玄乎。目前,信息安全工作人員曝出云計算在安全方面存在七宗罪,他們認為這七宗罪足以抵消云計算所帶來的好處。
不少首席信息安全官認為,使用云方案以后就可以高枕無憂了;但如果他們知道云在程序運行中出現了多少錯誤后或許會變得夜不能寐。
用戶登錄的檢查核對機制不完善
安全登錄云的唯一方式就是通過企業身份管理系統。很多云服務允許企業的任何人不通過企業網站注冊,就可創建自己云服務的用戶名與密碼,并能把云服務的授權證書與其私人郵箱地址連接。這種現象時有發生,但這并不意味著IT部門或者企業應該默許這種行為。“以這種方式開始提供的云服務,沒有與企業IMS整合,這就使得企業面臨策略違規、信息泄露的風險;而且,這些企業最終沒有能力來保證云的安全性。”Axway的首席安全官說。
同樣,一些公司快速部署了IaaS(基礎設施即服務),這也是利用了自我服務能力來解決其他部門對IT部門緩慢與無應答的投訴。但這種方式阻礙了管理,因為其允許在沒有安全保護的情況下直接登錄云服務器。
信息服務集團新技術調查員、云專家Stanton Jones就此解釋稱:“如此一來,員工就可以看到那些他們不具備查看權限的數據,比如說在VM(虛擬機)中的遺留問題數據。這些問題數據永遠不會被關閉。”
API使用方法被忽視
一家企業轉移到云服務,用戶需要一個API,這樣就能以自己的方式來平衡公司所提供的服務。云所帶來的內部服務與能力,將更貼近想登錄這些服務的客戶。基于API的整合方案就可以滿足這些要求。
移動應用開發者使用API在公司內部與商業信息之上創建有價值的生態系統。“如果開發者將這種生態系統貨幣化,那帶來的收益將會打破企業的價值鏈,所以你應該通過開發者門戶建立一個收益分支。”Thielens說。 我們已經說過,API密鑰,也就是可以使開發者登錄API服務的密鑰,已經可以與密碼相抗衡了。想知道如果你忘記密碼,將會發生什么嗎?CIO使用云服務API,就需要一個完善的安保計劃用以保護API密鑰。
不能完全脫離云服務供應商的掌控
Thielens說,隨著云服務的不斷進化,出現了新供應商,解決方案也推陳出新,傳統云服務保護網站,如亞馬遜、Facebook等已經轉型:在更小范圍內提供最優標準與產品。“這對云來說是革命性的解決方案,對于預置基礎設施來說也是。”
有關云的一切還處在不斷進化中,現有最佳云解決方案在今后未必是最優選擇。
外包風險與責任追究
企業可以將部分基礎設施外包到云上,但是企業不能完全外包風險與承諾義務。企業都要求云供應商具有一定限度的透明性,這樣企業才能掌握一些風險模式,并據此調整企業戰略。所有這些需求都在告訴云供應商,自從某些云可以輕易登錄并有管理風險以后,對企業而言,云可能就沒有那么適用了。Thielens指出:“企業不會撇開云供應商,去接手所有風險。”
信息化部署以及安全性考慮不足就直接簽署云解決方案
從現狀看,企業很容易從不同供應商處簽約獲取云服務,從此進入云時代。而對云服務應用范圍的大小,即使這些企業一點專業知識都不具備,也不存在任何問題。實際上,就和賺信用卡積分一樣簡單。 Prescient解決方案首席信息官、美國國家網絡安全特別小組成員Jerry Irvine說:“這就意味著,企業認為可以縮短實施IT項目所需時間,并使云成為生產力。”
但是,這種做法會帶來很多新的安全及容錯率等方面的問題。在不牽涉IT的情況下實施公司解決方案,很可能出現現有系統、配置與應用不兼容的情況,那些對規范與需要遵守的要求不甚了解的員工很可能就會遇到問題。
Irvine解釋道:“當這些云計算應用能夠為企業提供某些特殊需求的快速解決方案時,風險與缺陷將使企業在系統失誤、安全缺口等方面耗費大量資金。”因為這些特殊原因,所有啟用的云方案都要符合企業風險構想、合同復審、規則審查以及內部政策審查。
“很多企業已經發現,盡管缺乏內部啟用云計算的公司政策,但在企業內部,還是可以使用很多云服務。”信息安全論壇全球副總裁Steve Durbin說。Talbot-Hubbard認為:“如果沒有任何來自IT、采購或者法律部門的員工參與到企業轉移到云的行動中,那么企業將喪失對其相關數據、應用、服務及基礎設施的控制。”
輕信云的安全性
企業一般都很關注云服務的功能,但是卻不會提問。企業認為他們的云服務供應商同時服務很多其他客戶,會有更強大的安全部門,更完全的安全政策、處理過程以及規程。一些云供應商將比較高級的安全設施外包給第三方。但是,這些第三方供應商所提供的安全服務很可能沒有包含在合同內,而云供應商與客戶之間有服務等級協議。
沒有透徹理解成本
當云提供者展示其產品時,他們經常選擇展示一些比較初級的產品來吸引那些更在意價格的潛在消費者。Irvine說:“不幸的是,在與服務供應商交手后,企業通常認為,那些附加服務也要執行慣有的IT任務。”安全成本和那些相關義務也會隨之增加。企業在評估云服務成本時甚至基于一種不現實的空想,就好像是將應用推上云后,他們才需要確定內部IT資源的數量。Irvine指出,現在市場上有很多種云服務,內部所需要的資源數很可能完全沒有改變。
事實上,我們很多使用云計算服務的客戶,并沒有減少其IT部門的人員數量。在所有情況下,企業將所有應用和系統外包到云上的可能性幾乎微乎其微。即使企業將其很多系統轉移到云上,但還是有大量工作需要企業內部基礎設施和工作站工程師去處理。“其實,IT部門成本是受到云影響最小的一個部門。”Irvine說。 (朱巖)
編輯精選
