將那些在私有云和公有云之間移動的數(shù)據(jù)鎖起來是一件非常棘手的事。
如果說2013年是企業(yè)開始部署混合云的最新文章">混合云策略的年份,那么正如專家們所預(yù)測的那樣,2013年也將成為混合云安全的最新文章">云安全開始受到重視的一年。業(yè)內(nèi)分析師、行業(yè)觀察人士和安全從業(yè)者認(rèn)為,在如何徹底確?;旌显瓢踩缘膯栴}上根本就沒有萬能的解決方案,這無疑是一個(gè)壞消息。
造成這種局面的原因是由于混合云安全涉及許多因素。例如,如何確保本地?cái)?shù)據(jù)中心的資源安全,如何確保向公有云遷移的大量應(yīng)用的安全,如何確保存儲在多家云服務(wù)商上數(shù)據(jù)的安全,如何保護(hù)公有云和私有云的虛擬化基礎(chǔ),以及如何確保接入云基礎(chǔ)設(shè)施的移動設(shè)備安全,這些都是需要解決的問題。
除了這些問題外,另一個(gè)阻礙創(chuàng)建一個(gè)萬能解決方案的原因是,混合云的定義有待進(jìn)一步被解釋。在廣義的安全性和特定的云安全性方面,每家公司都有著不同的理解。如果企業(yè)的策略是在戒備森嚴(yán)的本地?cái)?shù)據(jù)中心或虛擬私有云中執(zhí)行最低限度的操作,以及同時(shí)將批處理或用戶前端處理遷移到云上,那么這一策略將成為IT部門的噩夢。
安全管理廠商趨勢科技公司負(fù)責(zé)云安全的副總裁Dave Asprey說:“每個(gè)混合云部署都各具特點(diǎn),這使得確保其安全性成為了一個(gè)移動目標(biāo)。”Asprey贊同“網(wǎng)狀云”的概念。所謂“網(wǎng)狀云”就是指企業(yè)客戶轉(zhuǎn)移到一個(gè)分布式云模式上。在這一模式上,他們能夠使用多家云服務(wù)商的服務(wù),每一家云服務(wù)商都可以根據(jù)使用案例、價(jià)格和可獲得性被相互替代。
Asprey說:“我并不認(rèn)為,針對‘網(wǎng)狀云’的威脅類型一定會比傳統(tǒng)數(shù)據(jù)中心或私有云解決方案所面臨的威脅要多。但是,在這些分布式云中運(yùn)行的數(shù)據(jù)所面臨的潛在風(fēng)險(xiǎn)肯定會增加。”
混合云安全策略的最新文章">安全策略
好的消息是,已在現(xiàn)有網(wǎng)絡(luò)中部署了深度防御措施的企業(yè)能夠在混合云安全管理策略中繼續(xù)使用這些安全措施。需要注意的是,IT管理部門必須負(fù)責(zé)大量的高級規(guī)劃,同時(shí)在混合云投入使用前就安全策略和設(shè)備方面的技術(shù)調(diào)整對員工進(jìn)行培訓(xùn)。
普華永道咨詢實(shí)踐負(fù)責(zé)人兼公司全球安全實(shí)踐主管Gary Loveland說:“通常在這一行業(yè)內(nèi),在相關(guān)安全顧慮被完全解決前,技術(shù)的應(yīng)用速度都很快。”Loveland稱,通過混合云,客戶能夠更加清楚安全需求,同時(shí)更加關(guān)注云服務(wù)商是否對定義和確保多租戶邊界安全、PCI和FISMA(聯(lián)邦信息安全管理法案)合規(guī)性,以及審計(jì)功能等問題做好了充分的準(zhǔn)備。
產(chǎn)業(yè)指導(dǎo)提供幫助
云安全聯(lián)盟(簡稱為CSA)在2011年推出了“CSA安全信任與保證注冊項(xiàng)目”(Security Trust and Assurance Registry,簡稱STAR)。用戶可以免費(fèi)注冊并訪問由眾多云服務(wù)商所提供的安全控制文檔。廠商在該項(xiàng)目中將提供關(guān)于他們的產(chǎn)品信息。這一項(xiàng)目旨在幫助用戶評估他們正在使用或未來考慮使用的云服務(wù)商的安全風(fēng)險(xiǎn)。目前,該項(xiàng)目已經(jīng)包含了20多家服務(wù)商的信息。
Loveland稱,根本性的問題是企業(yè)必須在使用虛擬化技術(shù)和云服務(wù)管理方面積累豐富的經(jīng)驗(yàn),并能夠充分利用更高級的安全解決方案。
從事審計(jì)、控制與信息系統(tǒng)安全的互聯(lián)網(wǎng)服務(wù)商聯(lián)盟ISACA的國際副總裁兼移動安全廠商RiskIQ的副總裁Jeff Spivey認(rèn)同這一觀點(diǎn)。他表示,企業(yè)IT部門通常認(rèn)為,一旦他們將運(yùn)營交給云服務(wù)商,那么安全責(zé)任將由后者承擔(dān)。Spivey說:“這并不是真的。在這一階段,IT部門需要更加努力地在他們的云服務(wù)上部署安全措施。”他指出,針對企業(yè)IT部門管理的最新ISACA架構(gòu)COBIT 5.0列出了云計(jì)算的最新文章">云計(jì)算中常見IT控制目標(biāo),可以作為部署混合云安全策略的重要指導(dǎo)綱要。
科學(xué)定制混合云策略
隨著云計(jì)算宣傳力度的持續(xù)加大,企業(yè)會要求IT部門通過管理獲取云計(jì)算所宣傳的經(jīng)濟(jì)效益。但是,IT部門的責(zé)任是確保企業(yè)能夠安全地轉(zhuǎn)向云計(jì)算,以獲取這些效益。實(shí)際上,美國得克薩斯大學(xué)的計(jì)算機(jī)科研人員已經(jīng)設(shè)計(jì)出了一種算法。這種算法能夠幫助企業(yè)研發(fā)出一種能夠感知風(fēng)險(xiǎn)的混合云策略。
據(jù)從事該項(xiàng)研究的Murat Kantarcioglu博士稱,這種解決方案非常有效,能夠在確保機(jī)制安全的情況下,在混合云環(huán)境中的公有與私有機(jī)器間進(jìn)行分區(qū)計(jì)算。Kantarcioglu和他的同事已經(jīng)為在混合云中分配數(shù)據(jù)和處理流程創(chuàng)建了一個(gè)框架,它能夠同時(shí)滿足性能、敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)和平衡資源分配成本等眾多互相制約的指標(biāo)。
這一技術(shù)還將部署作為基于Hadoop與Hive的云計(jì)算基礎(chǔ)設(shè)施的附加工具。Kantarcioglu的團(tuán)隊(duì)還通過實(shí)驗(yàn)證明,該技術(shù)可在不違反任何以前公有云使用限制的情況下,通過利用混合云組件大幅提升云計(jì)算性能。
Bluelock公司的CTO Pat O'Day表示,考慮混合云如何運(yùn)行才符合企業(yè)整體信息安全管理方案,有助于IT部門為整個(gè)企業(yè)的處理程序重新設(shè)置適當(dāng)?shù)陌踩燃墶'Day說:“我們正在考慮如何為特定應(yīng)用、特定的處理程序,甚至是特定的數(shù)據(jù)基礎(chǔ)設(shè)置正確的安全等級。這樣一來,企業(yè)將有更大的余地選擇將安全資源花費(fèi)在他們希望的地方上。”
云服務(wù)器安全廠商CloudPassage公司的產(chǎn)品副總裁Rand Wacker則認(rèn)為,對安全環(huán)境苛刻的客戶更適合使用混合云,因?yàn)樵诠性坪捅镜刭Y源之間有直接的鏈接。這樣一來,可以根據(jù)風(fēng)險(xiǎn)等級設(shè)定更為嚴(yán)格的安全策略。
ISACA的Spivey建議客戶,無論企業(yè)制定怎樣的安全策略,他們必須要確保這些安全策略具有可移植性。Spivey說:“不要將你的安全策略對象只限定在現(xiàn)有的云服務(wù)商身上。隨著時(shí)間的流逝,出于價(jià)格或性能原因,你可能會選擇不同的服務(wù)商。而在遷移過程中,你不希望必須重新考慮整體安全策略。”