Vormetric副總裁暢談2015年云計算安全和合規(guī)趨勢
譯文Vormetric副總裁C.J. Radford解釋,2014年,越來越多的亞馬遜網(wǎng)絡服務(AWS)客戶無法使用AWS/S3來確保其網(wǎng)絡的安全性。2015年,這個趨勢將愈演愈烈,更多的企業(yè)會使用云計算應用程序,目的是為了保護自身,遠離日益猖獗的網(wǎng)絡威脅。
Radford在接受TechRepublic通過電子郵件的采訪中暢談2015年云計算安全趨勢時還預計,企業(yè)會“打開錢包”,保護軟件即服務(SaaS)產(chǎn)品,更多的信息即服務(IaaS)提供商會提供加密和訪問控制服務,以及托管型私有云的數(shù)量會超過內部私有云,成為首選環(huán)境。
Vormetric公司創(chuàng)辦于2001年,為1400多個客戶提供企業(yè)加密和密鑰管理服務,這些客戶包括《財富》25強名單上的17家知名企業(yè)。據(jù)Radford聲稱,目前,企業(yè)在數(shù)據(jù)安全方面面臨的主要挑戰(zhàn)是,“將數(shù)據(jù)遷移到云端,同時確保數(shù)據(jù)可靠、加密和安全,另外還要設法保留密鑰所有權,面向基礎設施、平臺和軟件服務組成的整個云計算架構。”
在這篇采訪中,Radford還討論了他對首席信息安全官們會給出怎樣的建議,保護靜態(tài)數(shù)據(jù),Vormetric的數(shù)據(jù)安全解決方案以及合規(guī)領域的趨勢。
TechRepublic:2015年馬上就要到來,您認為數(shù)據(jù)安全領域的趨勢主要有哪些?
C.J. Radford:我可以告訴你我們在云計算安全方面預計會看到的幾個趨勢。
2014年,我們看到AWS的客戶表示他們無法使用亞馬遜的AWS/S3服務來確保自己的網(wǎng)絡安全。這個趨勢在2015年將愈演愈烈;由于無力跟上安全攻擊和威脅變化的速度,還有由此帶來的法律和合規(guī)要求,中小公司/企業(yè)使用云計算應用程序的步伐會加快。
Vormetric副總裁C.J. Radford
由于2014年企業(yè)應用程序開支當中超過50%用于SaaS,又由于在云端使用和存儲的信息中一大部分是敏感數(shù)據(jù),企業(yè)勢必會打開錢包,增加用于保護SaaS的開支。如果SaaS提供商提供明確的安全控制服務,在數(shù)據(jù)位置方面給出更多的細節(jié),并許以書面的安全承諾,就會發(fā)現(xiàn)業(yè)務增長,而這方面滯后的競爭對手只會遭殃。
我還認為所有專業(yè)的IaaS和主機托管提供商會為客戶提供企業(yè)和訪問控制服務。由于服務標準越來越高以獲得企業(yè)客戶,IaaS和主機托管提供商將為企業(yè)客戶提供一套基本的服務和一套高級的服務,以便客戶保護自身環(huán)境里面的數(shù)據(jù)。
最后,托管型私有云將取代內部私有云,成為主導型的私有云環(huán)境。由于更多的云服務提供商廣泛提供規(guī)模經(jīng)濟效益、服務級別承諾以及安全可視性和控制性,企業(yè)會日益青睞集兩者之眾長的托管型私有云環(huán)境。那樣既能得到公有云提供的可擴展性,又能獲得企業(yè)數(shù)據(jù)保護和操作所需要的更高安全性。
TechRepublic:您會為一家大中型企業(yè)力求提升數(shù)據(jù)安全能力的首席信息安全官會給出怎樣的建議?
C.J. Radford:考慮大型中企業(yè)的安全狀況時,我建議首席信息安全官們要著眼于需要保護的數(shù)據(jù),并審查一下要在IT架構上下端部署什么樣的安全解決方案,以便保護對企業(yè)來說最重要的數(shù)據(jù)。
首先,企業(yè)應該在整個IT架構上使用“同類中最佳“的安全解決方案。必需作出的一個調整是需要加強對數(shù)據(jù)保護的重視。這樣做的原因是,強大的邊界、網(wǎng)絡和端點防御體系不再足以保護敏感數(shù)據(jù)。不管這些傳統(tǒng)防御體系有多強大,它們很容易受到攻擊者現(xiàn)有的一套攻擊手法、挖掘技術和提取策略所帶來的破壞。再加上云計算和移動計算讓邊界模糊起來,所以IT安全策略和實施很顯然需要一種強大的數(shù)據(jù)保護要素。
其次,要確保貴企業(yè)的內部IT和安全策略及規(guī)程得到遵守,并不斷加以測試,確保符合那些策略。
最后,要制定計劃,防備安全事件發(fā)生,從而限制此類事件造成的負面影響,以免到時措手不及,因為這不是你會不會遇到安全事件的問題,而是安全事件何時發(fā)生、如何發(fā)生的問題。購置能事先檢測威脅的工具,還要落實了威脅緩解計劃,盡量減小損失。
TechRepublic:為什么保護靜態(tài)數(shù)據(jù)對企業(yè)部署云服務而言至關重要?
C.J. Radford:保護靜態(tài)數(shù)據(jù)對企業(yè)部署云服務而言絕對必不可少,那是由于知名機構的數(shù)據(jù)泄密事件層出不窮、國家隱私法規(guī)急劇增多,以及合規(guī)要求日益嚴格。在上述任何方面落后的企業(yè)有可能錯失商機,或者面臨更糟糕的后果。
充分利用云計算環(huán)境具有非常顯著的商業(yè)和經(jīng)濟效益,但是如果企業(yè)沒有落實適當?shù)姆婪洞胧切┬б嬉簿蜔o從談起。要想一想數(shù)據(jù)泄密事件之后給企業(yè)聲譽和收入造成的影響,或者違反數(shù)據(jù)儲存地點(data residency)法律之后出現(xiàn)的棘手的法律難題。
TechRepublic:Vormetric數(shù)據(jù)安全解決方案的主要優(yōu)點是什么?
C.J. Radford:Vormetric數(shù)據(jù)安全平臺提供了一套全面的解決方案,適用于諸多數(shù)據(jù)庫、平臺(Linux、Windows和Unix)以及操作環(huán)境(數(shù)據(jù)中心、大數(shù)據(jù)和私有云/公有云/混合云)。
我們的解決方案讓數(shù)據(jù)庫里面的信息保護起來變得難度更小、成本更低。該平臺讓企業(yè)可以采用統(tǒng)一、可重復的方式迅速部署。企業(yè)可以采取一種一致、集中的方法,沒必要使用大量單點產(chǎn)品。
同樣,管理起來也簡單而高效。Vormetric數(shù)據(jù)安全平臺提供了一種簡單直觀、基于Web的界面、應用程序編程接口和命令行接口。由于可以在整個企業(yè)迅速一致地實施數(shù)據(jù)庫安全性,IT資源能夠得到更高效的使用。
當然,該平臺提供了加密數(shù)據(jù)、控制訪問以及創(chuàng)建細粒度的安全情報日志等方面的功能,從而幫助企業(yè)迅速滿足安全和合規(guī)方面的要求。
TechRepublic:在數(shù)據(jù)安全市場,Vormetric的技術有何過人之處?
C.J. Radford:只有Vormetric為靜態(tài)數(shù)據(jù)加密以及文件系統(tǒng)級和卷級的訪問控制提供了單一的可擴展解決方案,易于保護任何文件、數(shù)據(jù)庫或應用程序,無論它們駐留在何處。競爭對手的解決方案側重于加密或者訪問控制,對操作系統(tǒng)平臺和云計算環(huán)境的支持很有限,密鑰管理方面的選項也很有效。使用Vormetric的客戶可獲得以下好處:1)透明加密,2)細粒度的訪問控制,3)安全情報,以及4)對云計算平臺的廣泛支持。
TechRepublic:在企業(yè)云計算領域,合規(guī)方面的趨勢主要有哪些?
C.J. Radford:對數(shù)據(jù)中心建在與客戶不在一個國家的云服務提供商(CSP)來說,數(shù)據(jù)主權常常是個全球性的大問題。企業(yè)不喜歡自己的數(shù)據(jù)離開本國的保護,這主要是由于嚴格的數(shù)據(jù)儲存地點法律,或者擔心誰擁有訪問該數(shù)據(jù)的法律權利。最近,我們已看到亞馬遜和VMware等CSP采取了這一步:在其他國家開設數(shù)據(jù)庫中心,以滿足該國客戶的要求。我認為,我們進入新的一年后,會看到越來越多的CSP走這條路。
全球已頒布了成百上千部數(shù)據(jù)隱私法律,但我們的口號仍然一樣:如果企業(yè)關注滿足數(shù)據(jù)儲存地點方面的要求,就應該對所有靜態(tài)數(shù)據(jù)進行加密,只允許從數(shù)據(jù)起源的國家訪問靜態(tài)數(shù)據(jù)。
TechRepublic:Vormetric解決方案如何能夠為客戶滿足合規(guī)要求?
C.J. Radford:我們服務于20個國家的1400多個客戶,涉及一系列廣泛的行業(yè),包括醫(yī)療保健、零售、消費品、制造、銀行、保險、政府和CSP等行業(yè),所以可以說,我們對合規(guī)可謂了如指掌!簡而言之,Vormetric數(shù)據(jù)安全平臺提供了一套通用的、可擴展的實施基礎設施,通過保護靜態(tài)數(shù)據(jù)來支持合規(guī)制度。我們的客戶必須遵守的一些最常見的合規(guī)法律包括:《健康保險可攜性及責任性法案》(HIPAA)、《薩班斯-奧克斯利法案》,當然還有各州和國家的數(shù)據(jù)泄密及保護法律。
我們的客戶最關注的是支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS)最近修訂了內容。自2015年1月1日起,訪問、存儲或傳輸持卡人數(shù)據(jù)和個人身份信息的所有公司必須滿足新的3.0標準。我們知道這對我們的客戶來說有多重要,于是發(fā)行了一份白皮書,闡述新規(guī)則以及Vormetric透明加密解決方案(Vormetric Transparent Encryption)如何有助于實現(xiàn)PCI DSS加密。
另一個重要的監(jiān)管法規(guī)是新的網(wǎng)絡安全框架,即《聯(lián)邦風險和授權管理方案》/美國國家標準與技術研究所(FedRAMP/NIST)。政府機構以及想與聯(lián)邦政府打交道的CSP必須滿足基本的安全標準。我們對于NIST采取的方法與PCI DSS相似,也出版了一份白皮書,表明了Vormetric的數(shù)據(jù)安全功能如何滿足最新的NIST安全控制要求。
