云安全的挑战无处不在
在急于利用云的好处时,企业必须正确管理将数据、系统和基础设施交给第三方的风险。与任何风险管理过程一样,这对董事会和技术安全团队都是一个挑战。
安全性一直是云应用的主要障碍(如果不是的话)——无论是托管在私有、混合或公共云环境中的应用程序还是基础设施。
但是,对云安全的担忧是杞人忧天吗?Verizon(该公司还拥有云提供商Terramark)发布的2013年数据泄露事件报告显示,事实的确如此。基于2012年47000次的违规调查,Verizon指出“针对虚拟化的攻击并不存在,但是针对弱配置设备的攻击(碰巧托管在外部位置)是常见的——但并不比内部托管的更常见。”
CIO同意这些事实吗?是的,没有。对于每一个认为云安全问题被高估的CIO,都有另一个认为云安全问题非常真实的CIO。
然而,关于云计算的安全担忧是否被夸大了,这并不是这里讨论的问题。考虑将工作负载转移到云中的关键问题是量化和处理风险;从评估哪些应用程序或基础设施可以以可接受的风险级别迁移到云,到迁移后如何保护它们。
虽然内部安全管理背后的相同概念也适用于云,但它们的实现中有一些细微的差别可能会从董事会层面上消失,但仍然是至关重要的。
例如,客户可能会发现他们熟悉的安全工具在云中被剥离。网络访问控制只是一个例子。
“与物理架构相比,云中的网络访问控制通常要基础得多,用于管理访问控制的工具也更基础。安全公司威胁情报(Threat Intelligence)的创始人泰•米勒(Ty Miller)表示:“这可能会导致网络访问控制执行不力,导致对系统和服务的不必要访问。”
物理安全设备确保高性能,可以通过低级别网络实现高可伸缩性,从而实现跨多个安全设备的负载平衡包。云环境的设计是可伸缩的,但一些虚拟安全设备的性能不如硬件设备。”
那么,在考虑云服务提供商时,企业应该如何进行安全风险管理呢?那些考虑使用云的提供商可能会遇到这样的情况:提供商只提供不透明的可见性,让用户了解他们如何管理安全和数据。但是,在评估闭源软件的提供者或根据服务水平协议提供保证的外包商时,这种情况不也是正确的吗?
客户需要构建一个框架来评估一个提供商,并将其与竞争对手进行比较,但不要给提供商带来过多的保证需求。最后,风险评估过程的严格程度取决于买方在做出承诺之前愿意进行的深入研究。
“我们与客户讨论的第一件事是,并非所有的云都是平等的,”智能商业研究服务安全分析师James Turner说。
“一个潜在的买家应该研究云供应商准备承诺什么。大多数云供应商已经意识到,承诺使用sla只能是一种象征性的姿态,不成熟的买家会注意的。”
不同成熟度级别buyer-side解释为什么在最近的一项调查由云管理供应商RightScale (pdf),三分之一的“云初学者的认为安全是移动到云计算的主要障碍,但只有13%的“云专注”组织(“大量使用云)的共享这一观点。
“成熟的买家会知道,任何数量的服务积分都无法取代云失效对业务的影响。云供应商在提供出色的业务服务的同时,又将自己置于保护客户信息资产的陷阱中,处于不值得羡慕的位置。
上周在OpenSSL中发现了一个名为“心脏出血”的安全漏洞,这应该让任何正在权衡云计算风险的人停下来想一想。在web服务器上实现OpenSSL本应该提供通过internet进行的加密通信,但是可能会被滥用来泄露用户密码、私钥和会话令牌。
该漏洞影响了本地系统、私有云和公共云提供商的组件。但它对买方有不同的影响,表明服务提供商支持良好的安全实践是一个主要的漏洞。买家是如何评估的呢?
在Amazon Web Service应用心脏出血补丁之前,它的弹性负载平衡器很容易受到漏洞的影响。
微软流行的web服务器IIS不受这个bug的影响,但是现在依赖云提供商提供备份服务的情况并不少见,比如Amazon web Service的弹性负载均衡器。
威胁情报公司首席执行官Ty Miller告诉ZDNet:“从云提供商带来的风险中,‘心脏出血’的漏洞无疑是我们吸取的教训。”
“AWS负载均衡器仍可能被用来捕获您的私有SSL证书,以及可能的用户名、密码和会话cookie。”
幸运的是,像Heartbleed这样的漏洞并不是每天都出现。一个更持久的问题是数据主权以及将数据转移到不同司法管辖区所带来的模糊法律风险。对许多政府机构和一些受到监管的行业来说,这是一件破坏交易的事情,尤其是对美国以外的行业。
去年,瑞典的数据检查委员会(Data Inspection Board)对一个市政当局和几所学校采取了法律行动,这些学校从内部系统迁移到了谷歌应用程序。除了数据主权方面的担忧,在董事会看来,谷歌的标准合同给了它太多的余地,让它去做它认为合适的事情,这与这些组织作为“数据控制者”的职责相冲突。
瑞典云病例发生在一个更大的转变的背景下在欧盟内部,更新其数据保护指令在一些欧洲议会成员的呼吁取消欧洲安全港法案,允许一些美国公司对欧盟公民在大陆处理数据。
“作为任何迁移到云的一部分,企业需要确保他们意识到舒适的位置数据将存储和与位置相关的法律含义,”克雷格塞尔说,BAE系统公司的应用网络主管情报在亚太地区。
这些都是重大的问题,不仅涉及技术领域,还涉及法律和管理领域,并说明了董事会级别的高管了解云安全挑战和风险敞口为何如此重要。