云安全問題你考慮了嗎？

由于在企業內部維護硬件和軟件價格昂貴，于是將企業IT架構交給云計算也成了順理成章的事情。主要的優勢包括：當IT架構作為互聯網服務提供給你時，你不再需要有專業知識或者對其進行控制，你只要把所有東西交給云計算就可以了，并且價格很實惠。但是，如同所有新技術一樣，太多人部署云計算方案，以至于還沒來得及考慮云安全問題。

福特汽車公司的安全顧問兼高級web設計架構師Matt Schneider

我對于云安全問題非常感興趣，目前我們正在開發一種web應用程序，用來向大眾提供安全的電子郵件、聊天、留言板和協作的平臺，同時我們網絡和數據庫服務器中的所有內容都是用強大的加密功能和密鑰進行保護。

作為web開發人員，我很清楚開發人員會鼓吹自己已經盡全力去保護用戶數據了，雖然只是將用戶數據以純文本形式存儲在共享網站。在大多數情況下，你的個人信息對于其他人以及你所訪問的網站而言都是沒有價值的，人們總是過于信任web應用程序，將自己的信息都暴露在上面。

大部分互聯網數據都是不重要的數據，這些數據也很少會被偷竊或破壞，但是也難免出現這樣的情況，我們在論壇或者聊天工具中談論機密信息，而碰巧被某些人截獲。到底普通用戶對于云計算有多關注呢?可能大部分人都沒有想過云計算，就像最近Facebook和Twitter發生的攻擊事故，如果用戶真的擔心信息安全問題，就應該停止使用這些平臺。

對于一個網站而言，尤其是那些用戶透露重要個人信息的網站，是否安全主要可以從以下幾個方面體現：

• SSL連接

• 信譽認證(如 Verisign和 GeoTrust認證等0)

• 多個信譽認證(Verisgn、McAffee和BBB等)

• 可信的公司名

• 廣泛宣傳

• 媒體推薦

• 大量用戶群體

我認為以上條件基本可以確定某個網站是否能夠保護客戶的重要信息。通常用戶會根據自己的判斷而信任某個網站能夠保護他們的數據，即使不知道網站是如何保護他們的數據或者存儲位置。但是這樣真的安全么?

位于加拿大安大略省PerspecSys公司的CEO兼CTO Terry Woloszyn：

當有人想要采用基于云計算的應用程序時，通常他們需要確保這幾個因素：隱私性、存儲位置和安全(PRS)。云安全方面主要分為兩類：云計算供應商提供的數據安全保護以及云計算供應商防火墻與用戶驗證之前的數據安全。因此，在考慮什么是云計算問題之前，你需要建立一個分類。

Wikibon Project的合作伙伴兼主要研究負責人 Michael Versace：

有些人把云安全描繪得過于復雜。安全是基于風險的規則，用戶首先需要理解云服務中存在的固有風險，然后部署最佳的企業化的/管理/業務流程和技術控制來管理風險，將風險控制到可接受的級別。

網絡安全顧問George Moraetes：

云計算是一種業務概念，俗稱為SaaS(軟件即服務)、PaaS(平臺即服務)和IaaS(基礎設施即服務)。實際上，它是指將數據中心外包給第三方供應商(自詡其產品是最佳最安全的產品)，問題在于，在云計算中將每個系統都認為是可靠的，而實際上沒有百分之百安全的系統。

首先我們來分析下這個“云”，將它作為向企業提供計算服務的外包數據中心。如果提供的服務是指軟件、平臺或者基礎設施，那么保護這些特殊的服務的安全性就應該與保護遵守行業最佳做法的非外包服務一樣，但是實際情況是這樣嗎?企業真的能夠控制外包出去的數據安全么?安全本身可以作為保護數據和交易而外包出去嗎?企業能夠向供應商解說清楚如何保護他們的數據么?當數據外包給第三方后，誰持有這些數據?數據存儲在哪里?誰控制這些數據?這些都是涉及數據違規法律責任問題的。

其實云計算可能造成的安全損失要遠遠超過部署本地服務的成本，從法律角度來看，最好能夠確保那些鼓吹能夠運行其數據中心保護數據的外包第三方能夠真正履行其承諾。

我認為云安全應該是這樣：能夠確保企業傳統數據中心所部署的技術和操作在第三方供應商也有。而不屬于云安全的包括合法性、最佳做法和行業標準，這些控制安全框架(已經成為熱門問題)的問題，這些方面極具吸引力，因為成本問題。

KVH 公司的信息安全經理Venkatesh Ravindran ：

眾所周知，基礎安全是以可用性、完整性和保密性為核心的，云安全必須解決這些基本的安全問題。換個角度看主要包括以下安全問題：

• 網絡外圍安全(由云計算安全供應商部署的外圍安全)

• 網絡通信安全(客戶與云安全供應商之間的通信)

• 應用程序/平臺安全(這是最具挑戰的部分，因為大部分應用程序或者平臺都具有多重性)

• 數據安全

• 法律法規與合規

Maricom系統公司的主要架構師/CSO Wing Ko：

我同意George Moraetes的觀點，云計算只是數據中心外包。雖然不同模式(*aaS)，使用方式以及供應商如何部署服務等，云安全都要比傳統數據中心外包更復雜。

話雖如此，我也同意Mike Versace的說法，我們應該提供一些基本的辦法來幫助大家的了解并提出一些問題，我一直以來使用的方法就是RAIN(如下)，這是屢試不爽的規劃和分析方法：

• (R)equirement要求：了解你的業務需求，從中歸類出技術需求、非技術需求、管理要求和安全要求等。

• (A)nalysis分析：從你的業務要求出發，對你想要或者能夠外包的任務或者服務進行分析，并且明確那些任務是由哪些人負責，以免增加后期工作難度。然后進行風險分析，特別是從云連接、多重性、本地數據隱私法規和業務連續性來考慮。

• (I)nterface界面：明確界定系統和用戶界面。誰負責聯系供應商或者如何向供應商咨詢問題?使用哪些API或者網頁?如何使用?返回的結果是怎樣的?界面/接觸點越多，數據泄漏發生的幾率就越高

• e(N)sure確保：核查和確保服務是根據條款來執行的。測試供應商發送的結果以確保是以你期望的格式發送的，審計或者筆測服務，執行供應商運行的操作

云安全總結

云計算技術的廣泛應用使得企業越來越依賴于云基礎設施以及作為互聯網服務而提供的虛擬資源，但是安全專家擔心，很多企業在投入云計算之前都沒有考慮風險問題。