Wikibon Project的合作伙伴兼主要研究负责人 Michael Versace:
有些人把云安全描绘得过于复杂。安全是基于风险的规则,用户首先需要理解云服务中存在的固有风险,然后部署最佳的企业化的/管理/业务流程和技术控制来管理风险,将风险控制到可接受的级别。
网络安全顾问George Moraetes:
云计算是一种业务概念,俗称为SaaS(软件即服务)、PaaS(平台即服务)和IaaS(基础设施即服务)。实际上,它是指将数据中心外包给第三方供应商(自诩其产品是最佳最安全的产品),问题在于,在云计算中将每个系统都认为是可靠的,而实际上没有百分之百安全的系统。
首先我们来分析下这个"云",将它作为向企业提供计算服务的外包数据中心。如果提供的服务是指软件、平台或者基础设施,那么保护这些特殊的服务的安全性就应该与保护遵守行业最佳做法的非外包服务一样,但是实际情况是这样吗?企业真的能够控制外包出去的数据安全么?安全本身可以作为保护数据和交易而外包出去吗?企业能够向供应商解说清楚如何保护他们的数据么?当数据外包给第三方后,谁持有这些数据?数据存储在哪里?谁控制这些数据?这些都是涉及数据违规法律责任问题的。
其实云计算可能造成的安全损失要远远超过部署本地服务的成本,从法律角度来看,最好能够确保那些鼓吹能够运行其数据中心保护数据的外包第三方能够真正履行其承诺。
我认为云安全应该是这样:能够确保企业传统数据中心所部署的技术和操作在第三方供应商也有。而不属于云安全的包括合法性、最佳做法和行业标准,这些控制安全框架(已经成为热门问题)的问题,这些方面极具吸引力,因为成本问题。
KVH 公司的信息安全经理Venkatesh Ravindran :
众所周知,基础安全是以可用性、完整性和保密性为核心的,云安全必须解决这些基本的安全问题。换个角度看主要包括以下安全问题
? 网络外围安全(由云计算安全供应商部署的外围安全)
? 网络通信安全(客户与云安全供应商之间的通信)
? 应用程序/平台安全(这是最具挑战的部分,因为大部分应用程序或者平台都具有多重性)
? 数据安全
? 法律法规与合规
Maricom系统公司的主要架构师/CSO Wing Ko:
我同意George Moraetes的观点,云计算只是数据中心外包。虽然不同模式(*aaS),使用方式以及供应商如何部署服务等,云安全都要比传统数据中心外包更复杂。
话虽如此,我也同意Mike Versace的说法,我们应该提供一些基本的办法来帮助大家的了解并提出一些问题,我一直以来使用的方法就是RAIN(如下),这是屡试不爽的规划和分析方法:
? (R)equirement要求:了解你的业务需求,从中归类出技术需求、非技术需求、管理要求和安全要求等。
? (A)nalysis分析:从你的业务要求出发,对你想要或者能够外包的任务或者服务进行分析,并且明确那些任务是由哪些人负责,以免增加后期工作难度。然后进行风险分析,特别是从云连接、多重性、本地数据隐私法规和业务连续性来考虑。
? (I)nterface界面:明确界定系统和用户界面。谁负责联系供应商或者如何向供应商咨询问题?使用哪些API或者网页?如何使用?返回的结果是怎样的?界面/接触点越多,数据泄漏发生的几率就越高
? e(N)sure确保:核查和确保服务是根据条款来执行的。测试供应商发送的结果以确保是以你期望的格式发送的,审计或者笔测服务,执行供应商运行的操作
云安全总结
云计算技术的广泛应用使得企业越来越依赖于云基础设施以及作为互联网服务而提供的虚拟资源,但是安全专家担心,很多企业在投入云计算之前都没有考虑风险问题。
(责任编辑:)
