6種常見云安全誤區(qū)
在這種經(jīng)濟(jì)蕭條的大背景下,IT部門都面臨著IT安全預(yù)算緊缺以及不斷增強的合規(guī)要求等問題,企業(yè)們都在考慮是否應(yīng)當(dāng)將某些IT運營交給云服務(wù)供應(yīng)商處理。事實上,每個人都深感壓力,預(yù)算不夠的情況下還要盡力保護(hù)數(shù)據(jù)的安全,特別是中小型企業(yè),這也就意味著企業(yè)需要將部分IT運行外包給第三方以減少資金和人力方面的投資。
急切地投身到云計算中從安全角度考慮是很危險的,但是如果你認(rèn)為你能夠比服務(wù)供應(yīng)商更好的保護(hù)你的基礎(chǔ)設(shè)施,而完全不考慮云計算也是不明智的舉措。其他錯誤想法還包括:認(rèn)為將數(shù)據(jù)交給云服務(wù)供應(yīng)商后就不再需要為數(shù)據(jù)安全保障負(fù)責(zé)人;認(rèn)為是由你來決定企業(yè)是否以及如何使用軟件即服務(wù)(SaaS):可能你會發(fā)現(xiàn)你是最后一個知道企業(yè)已經(jīng)部署SaaS的人。
當(dāng)企業(yè)在考慮或者決定將企業(yè)的系統(tǒng)、應(yīng)用程序以及數(shù)據(jù)轉(zhuǎn)移到基于服務(wù)的模式(即云計算)時,還會犯很多其他錯誤,這些錯誤包括:沒有對云服務(wù)供應(yīng)商的安全性進(jìn)行驗證和測試,不對供應(yīng)商的可靠性進(jìn)行核實,不做任何修改就將企業(yè)不安全的應(yīng)用程序交給供應(yīng)商,希望應(yīng)用程序自動會變得更加安全。
讓我們來仔細(xì)分析這六種常見安全云計算錯誤,以及如何避免發(fā)生這些錯誤。
錯誤1:認(rèn)為云安全比不上數(shù)據(jù)中心
作為保護(hù)公司數(shù)據(jù)和知識產(chǎn)權(quán)的主要負(fù)責(zé)人,安全專家們基本上都有很強的控制欲望,這也讓安全專家們產(chǎn)生這樣的誤會,“最常見的錯誤就是,只要我們談?wù)撛朴嬎悖髽I(yè)們就會認(rèn)為云計算的安全性比不上企業(yè)自己的IT安全運營,”Forrester研究機(jī)構(gòu)的主要分析師Chenxi Wang表示,“企業(yè)普遍認(rèn)為,控制力度越強就越安全。”
事實上,對于像Google的SaaS這樣的云服務(wù),數(shù)據(jù)丟失發(fā)生的可能性不大,因為這些數(shù)據(jù)是可以隨時隨地被訪問的,而不會被保存到容易丟失或者偷竊的USB存儲設(shè)備或者CD,根據(jù)Google應(yīng)用程序安全主管Eran Feigenbaum表示,Google的安全漏洞修復(fù)計劃比一般企業(yè)的安全更新要更加有條理,因為Google的服務(wù)器結(jié)構(gòu)很均勻。“很多攻擊的發(fā)生都是因為企業(yè)缺乏安全漏洞管理和服務(wù)器的錯誤配置,對于我們而言,當(dāng)新的安全補丁發(fā)布時,我們可以迅速對整個平臺進(jìn)行統(tǒng)一修復(fù)。”
SaaS和其他云供應(yīng)商則具有更加整體的觀點,F(xiàn)eigenbaum在4月份的RSA會議的云安全會議小組中表示,“對于企業(yè)而言,只能看到對企業(yè)造成威脅的一小方面。云供應(yīng)商可以從更全面的角度來看待整體經(jīng)濟(jì)規(guī)模,云可以改變安全局勢,也有能力提供更好的安全。”
但是這并不意味著企業(yè)可以盲目地相信云服務(wù)供應(yīng)商,雖然較大型供應(yīng)商可能能夠提供更好的服務(wù),F(xiàn)orrester研究機(jī)構(gòu)的Wang表示,“云服務(wù)供應(yīng)商是從更加復(fù)雜的水平來處理安全問題的,而不像企業(yè)IT團(tuán)隊一樣, 只關(guān)注每天的需求。盲目的認(rèn)為云安全提供的安全性不高或者存在更多問題都是不正確的。”
到目前為止,安全問題是云服務(wù)廣泛部署的主要障礙,Sun公司的云計算首席管理官Michelle Denndy表示,“對云服務(wù)缺乏信任一直是阻止云服務(wù)廣泛應(yīng)用的因素,而不是云服務(wù)的技術(shù)能力,但是很多情況下,云服務(wù)比企業(yè)環(huán)境都更加安全。
錯誤2:沒有對云服務(wù)供應(yīng)商的安全性進(jìn)行核實、測試或者審計
當(dāng)你在選擇服務(wù)供應(yīng)商的時候,不要輕易就對供應(yīng)商的安全性下結(jié)論,要對供應(yīng)商如何保護(hù)你的數(shù)據(jù)以及供應(yīng)商基礎(chǔ)設(shè)施的安全性進(jìn)行核實。“輕易相信供應(yīng)商是不行的,你必須對云服務(wù)供應(yīng)商的安全性進(jìn)行核實、測試或者雇傭第三方對其進(jìn)行審計,”惠普軟件和解決方案安全工程師Dennis Hurst表示。
但是測試供應(yīng)商的安全性也不是那么簡單。并不是所有云服務(wù)公司對于自己的安全策略和規(guī)定都能夠講清楚,通常不能進(jìn)行很好的溝通。“還有些不清楚數(shù)據(jù)中心云是如何被保護(hù)的,”VMWare公司的云解決方案主管Jian Zhen在最近的RSA會議上表示,“云服務(wù)供應(yīng)商需要更好的解釋云計算,讓用戶感覺舒服,并不是因為云服務(wù)供應(yīng)商沒有更好的安全性,而是因為不是那么透明。”
惠普公司的Hurst表示,要確保你的云服務(wù)供應(yīng)商是以安全的方式隔離各個系統(tǒng)的,“企業(yè)并沒有核查他們的系統(tǒng)和數(shù)據(jù)是否被分隔開來,他們只是確認(rèn)虛擬機(jī)被分隔了,但是他們的應(yīng)用程序可能在同時運行100個其他虛擬機(jī)的服務(wù)器上運行,并且供應(yīng)商可能不會進(jìn)行適當(dāng)?shù)母綦x,或者IP地址不會被防火墻阻止。”
雇傭可信任的第三方驗證云供應(yīng)商的安全性,或者與供應(yīng)商商量讓你對其進(jìn)行在線測試和驗證,他表示,“供應(yīng)商應(yīng)該將他們?nèi)绾畏指艨蛻魝兊南到y(tǒng)付諸文檔形式,這樣就比較容易讓用戶驗證。”要確認(rèn)虛擬機(jī)是否受到保護(hù),你可以在環(huán)境外運行端口掃描來確認(rèn)你不能進(jìn)入其他客戶的機(jī)器。
云服務(wù)供應(yīng)商對于其安全和隱私的明確度可以判斷供應(yīng)商的安全性,“如果他們對于他們的安全能力很自信的話,那么相對來說,是比較安全的,”Forrester的Wang表示,“反之,如果供應(yīng)商不太愿意談?wù)摪踩珕栴},那就要考慮別家供應(yīng)商了。”
在過去幾年,Google就已經(jīng)開始提供關(guān)于SaaS安全性的詳細(xì)信息,包括白皮書等,F(xiàn)eigenbaum表示,“也許不是在我們網(wǎng)站的首頁,可能用戶需要簽署NDA或者其他要求,這樣也是為了保持安全性與可見性之間的平衡。”
與此同時,云計算也提供了一種從數(shù)據(jù)方到云服務(wù)外建立安全的機(jī)會,Sun公司的Dennedy指出,“這應(yīng)該是互聯(lián)網(wǎng)所需要做的,”她表示,“現(xiàn)在我們需要選擇最好的安全技術(shù),并將這些技術(shù)部署到安全的云服務(wù)產(chǎn)品中。”
錯誤3:沒有對云服務(wù)供應(yīng)商的業(yè)務(wù)可靠性進(jìn)行審查
第三個誤區(qū)就是,在確認(rèn)云服務(wù)供應(yīng)商的業(yè)務(wù)可靠性前就完全信任供應(yīng)商,“如果你的供應(yīng)商明天突然消失的話,你能夠做什么?”Hurst表示,曾經(jīng)就發(fā)生過這樣的案例,位于美國德克薩斯州的某家供應(yīng)商就因為涉嫌非法活動,F(xiàn)BI突然查抄了這家公司并且沒收了數(shù)據(jù)中心和計算機(jī)。“只有一臺電腦用于非法目的,結(jié)果其他電腦也被沒收了,”讓客戶蒙受了很大的損失。因此,用戶們應(yīng)該做好這方面的打算,最好將所有能夠確保業(yè)務(wù)正常運行的內(nèi)容拷貝一份,以防云服務(wù)供應(yīng)商突然停止提供服務(wù)。
另外,你還需要確定云服務(wù)供應(yīng)商是否有災(zāi)難備份計劃,這對于較小型云服務(wù)供應(yīng)商來說是挑戰(zhàn)。
慶幸的是:我們很少聽說云服務(wù)供應(yīng)商突然停止提供服務(wù)的消息,而更可能出現(xiàn)的問題是與安全做法相關(guān)的問題。
而且到目前為止,企業(yè)們還只是將一些不是很關(guān)鍵的應(yīng)用程序(如電子郵件程序)交給云服務(wù)供應(yīng)商,這樣云服務(wù)對其他企業(yè)應(yīng)用程序可能帶來的風(fēng)險比較小。
錯誤4:認(rèn)為數(shù)據(jù)交給云服務(wù)供應(yīng)商后就高枕無憂了
不要認(rèn)為將應(yīng)用程序或者系統(tǒng)外包出去就意味著你完全不用對數(shù)據(jù)泄漏負(fù)責(zé)了,這也是很多中小企業(yè)持有的錯誤觀點。將對數(shù)據(jù)的保護(hù)交付給云服務(wù)供應(yīng)商并不意味著,當(dāng)發(fā)生數(shù)據(jù)泄漏的時候,你就完全沒有責(zé)任。
“最終,企業(yè)需要對數(shù)據(jù)泄漏負(fù)責(zé),企業(yè)首席執(zhí)行官可能受到裁決,而不是云服務(wù)供應(yīng)商,”VMWare的Zhen在RSA會議上指出。
高度管制的企業(yè)通常能夠很快意識到這一點,F(xiàn)orrester的Wang表示:“作為數(shù)據(jù)的所有者總是要對客戶的數(shù)據(jù)負(fù)責(zé)任的。”
惠普公司的Hurst就表示他曾遇到過這樣的事情,讓云服務(wù)供應(yīng)商受到攻擊時,企業(yè)仍然需要負(fù)部分責(zé)任。他的前雇主將企業(yè)的醫(yī)療保險信息外包給了一家海外供應(yīng)商,“當(dāng)云服務(wù)供應(yīng)商受到攻擊時,公司仍然不得不承認(rèn)他們丟失了數(shù)據(jù),而且需要支付欺詐檢測服務(wù)的費用。”
也就是說,當(dāng)你將某個業(yè)務(wù)功能托付給第三方處理時,你并沒有擺脫你的責(zé)任。
錯誤5:將不安全的應(yīng)用程序放入云中希望以此能讓不安全程序變安全
The key is properly preparing your applications and data for the transition, she says. 將有缺陷的舊IT系統(tǒng)和充滿漏洞的應(yīng)用程序交付給云服務(wù)供應(yīng)商處理并不能自動讓這些系統(tǒng)變得安全,“沒有供應(yīng)商會為你修復(fù)系統(tǒng)或程序的,”Sun公司的Dennedy表示,“不要幻想你扔給別人的垃圾會自動變成好東西。”
只有選擇正確的供應(yīng)商、外包合適的應(yīng)用程序以及部署正確的規(guī)劃,云計算才能夠為企業(yè)提供更好的安全性和管理,但是對于那些沒有適當(dāng)控制的企業(yè),這將是個很大的挑戰(zhàn)。
“安全企業(yè)通常對于他們的架構(gòu)都沒有進(jìn)行控制,”Zscaler的安全研究副總裁Michael Sutton,他還指出Gartner研究結(jié)果表明,60%的企業(yè)仍然在使用漏洞百出的IE6瀏覽器,這個結(jié)果太讓人大跌眼鏡了。
雖然說,不安全的應(yīng)用程序在云服務(wù)供應(yīng)商那里可以獲得更好的保護(hù),因為較少訪問企業(yè)數(shù)據(jù)中心,但是說到底,不安全的漏洞應(yīng)用程序仍然是一個隱患,“畢竟是不安全的應(yīng)用程序,任何它訪問過的數(shù)據(jù)都可能被盜竊,”他表示,“如果攻擊者攻擊了這個應(yīng)用程序并且用它來發(fā)動僵尸網(wǎng)絡(luò),而又無法控制該程序,這樣是很危險的。”
錯誤6:不知道企業(yè)業(yè)務(wù)部門已經(jīng)開始使用某些云服務(wù)了
大家都知道IT安全通常都被認(rèn)為是技術(shù)和業(yè)務(wù)運營的障礙物,而不是推動器。這種觀念有時候會導(dǎo)致業(yè)務(wù)部門完全與安全脫節(jié),你會突然發(fā)現(xiàn),某一天業(yè)務(wù)部門與云供應(yīng)商洽談的業(yè)務(wù),而完全沒有考慮安全問題。
關(guān)鍵在于要防止企業(yè)內(nèi)部在完全不考慮安全問題的前提下,與云服務(wù)供應(yīng)商簽署合同。企業(yè)可能制訂了安全政策來定義云計算,以及圍繞云計算的安全指導(dǎo),但是如果這些安全措施不是嚴(yán)格強制執(zhí)行的話,對除安全部門以外的部門將其不到任何作用。
Forrester'研究機(jī)構(gòu)的Wang表示,IT部門很多時候都不知道企業(yè)內(nèi)部其實已經(jīng)在使用云計算服務(wù)。應(yīng)該盡早的讓安全部門參與進(jìn)來,如果安全團(tuán)隊能夠在評估和審核過程就參與進(jìn)來,就能夠確定企業(yè)的云服務(wù)安全需求, 這樣企業(yè)就能夠放心將系統(tǒng)程序交給云服務(wù),專心進(jìn)行業(yè)務(wù)。
當(dāng)然,這也需要對業(yè)務(wù)方面的更多了解,而不只是技術(shù)方面。
【編輯推薦】
