云計(jì)算安全的共識(shí)、共鳴和挑戰(zhàn)

2013-10-16 17:42:54 EP電力信息化網(wǎng)　點(diǎn)擊量：412 評(píng)論 (0)

不言而喻，云計(jì)算仍是一個(gè)迅速變化的領(lǐng)域，要么保持在最前沿，要么落后。2010年10月18號(hào)，工信部和發(fā)改委共同發(fā)文將云計(jì)算和虛擬化寫入十二五的戰(zhàn)略規(guī)劃，確定在北京、上海、深圳、杭州和無(wú)錫五個(gè)城市先行開(kāi)

不言而喻，云計(jì)算仍是一個(gè)迅速變化的領(lǐng)域，要么保持在最前沿，要么落后。2010年10月18號(hào)，工信部和發(fā)改委共同發(fā)文將云計(jì)算和虛擬化寫入“十二五”的戰(zhàn)略規(guī)劃，確定在北京、上海、深圳、杭州和無(wú)錫五個(gè)城市先行開(kāi)展云計(jì)算服務(wù)創(chuàng)新發(fā)展試點(diǎn)示范工作。遠(yuǎn)看，我們需要抓住云計(jì)算所帶來(lái)的機(jī)遇，持續(xù)并快速的改變思維，優(yōu)化流程、找尋方法、變革技術(shù);近看，遷移到云計(jì)算的過(guò)程，為我們提供了新的契機(jī)，來(lái)重新審視和謀劃現(xiàn)有的基礎(chǔ)設(shè)施、應(yīng)用等與業(yè)務(wù)的關(guān)聯(lián)性。不論是遠(yuǎn)謀還是近思，云計(jì)算與任何新概念和技術(shù)一樣，它會(huì)帶來(lái)新的機(jī)遇，也將創(chuàng)造新的風(fēng)險(xiǎn)，不可預(yù)期的安全風(fēng)險(xiǎn)甚至?xí)^(guò)企業(yè)當(dāng)前的安全需求。在你思考選擇是否選擇云計(jì)算的時(shí)候，安全的位置和憂慮到底是怎樣的？本文將通過(guò)我們的所見(jiàn)所聞，與你共同探討云計(jì)算安全的問(wèn)題，以期所思所想與大家共鳴。

　　共識(shí)：云計(jì)算是安全機(jī)遇

　　不論是廣義的云計(jì)算安全，還是狹義的云安全。目前普遍的共識(shí)是云計(jì)算是安全技術(shù)創(chuàng)新和發(fā)展的機(jī)遇，在云計(jì)算還未像今天如此火爆的時(shí)候，狹義云安全的定義就已經(jīng)風(fēng)生水起，成為安全廠商展現(xiàn)自身安全技術(shù)系統(tǒng)、架構(gòu)領(lǐng)先性的舞臺(tái)。借助云的概念，安全廠商自身技術(shù)和架構(gòu)的可信、規(guī)模、積累、對(duì)服務(wù)模式的思考等，就成為了他們經(jīng)常掛在嘴邊的關(guān)鍵詞。產(chǎn)業(yè)也在經(jīng)歷了云計(jì)算是安全的災(zāi)難，還是安全機(jī)遇彷徨之后，意見(jiàn)逐漸趨同。雖然安全目前依然是擺在企業(yè)跨入云計(jì)算環(huán)境的首要擔(dān)憂之一，但云計(jì)算給安全所帶來(lái)的機(jī)遇，已經(jīng)是產(chǎn)業(yè)和廠商的共識(shí)。

　　共鳴：信心和耐心為云計(jì)算卸下包袱

　　不論是選擇云服務(wù)，構(gòu)建私有云，還是將現(xiàn)有基礎(chǔ)設(shè)施遷移到云。首先需要對(duì)這一新興技術(shù)概念抱有信心，從2010到2011年的很多報(bào)告顯示，由于安全問(wèn)題，眾多的企業(yè)對(duì)云計(jì)算持謹(jǐn)慎態(tài)度，但對(duì)云對(duì)安全的態(tài)度正在發(fā)生變化。2010年Harris調(diào)查顯示，超過(guò)81%的用戶擔(dān)心云服務(wù)的安全性問(wèn)題，普遍認(rèn)為云計(jì)算缺少安全性。而到了2011年，眾多的調(diào)查報(bào)告顯示，企業(yè)開(kāi)始對(duì)云計(jì)算選擇的比例呈上升勢(shì)頭，賽門鐵克《云端現(xiàn)狀調(diào)查》報(bào)告顯示，88%的受訪者有信心邁進(jìn)云計(jì)算而不會(huì)影響信息安全，雖然只有很少比例(15%-18%)認(rèn)為已經(jīng)做好過(guò)渡到云的準(zhǔn)備，雖然說(shuō)多做少，但根據(jù)這份調(diào)查報(bào)告顯示，譬如企業(yè)選擇郵件安全、IM安全等安全云服務(wù)的比例要多于其他云服務(wù)，從對(duì)安全的擔(dān)憂到現(xiàn)在的安全性預(yù)期的評(píng)估，安全造成企業(yè)對(duì)云計(jì)算呈謹(jǐn)慎態(tài)度的局面正在改觀。

　　還有眾多的云計(jì)算調(diào)查報(bào)告的數(shù)據(jù)，也顯示出企業(yè)對(duì)云計(jì)算的鐘情。雖然安全的擔(dān)心仍然存在，但云服務(wù)的效能、可用性、評(píng)估預(yù)期、IT部門對(duì)系統(tǒng)的控制權(quán)是否會(huì)導(dǎo)致崗位流失等更多的隱憂正在浮現(xiàn)，安全從云計(jì)算誕生就背上的包袱和陰霾正在被驅(qū)散。

　　同時(shí)云計(jì)算不可能一蹴而就，所以企業(yè)和整個(gè)產(chǎn)業(yè)都要有耐心走好這個(gè)過(guò)程，從整個(gè)行業(yè)進(jìn)展情況來(lái)看，可能很多企業(yè)都要花多則6-7年，少則3-5年來(lái)過(guò)渡，而目標(biāo)也不是簡(jiǎn)單的將數(shù)據(jù)中心搬到公有云或變成私有云。同樣之于安全，云計(jì)算的技術(shù)架構(gòu)，平臺(tái)，終端計(jì)算，每個(gè)層次都不能忽視安全，每個(gè)層面都有安全，包括管理也需要安全，安全不是支離破碎，不是某一個(gè)環(huán)節(jié)把安全考慮好了就一勞永逸。所以需要從各個(gè)層面看現(xiàn)有架構(gòu)走到安全體系的階段，包括傳統(tǒng)組件，基礎(chǔ)架構(gòu)，技術(shù)應(yīng)用，開(kāi)發(fā)等，當(dāng)新的應(yīng)用方式出現(xiàn)的時(shí)候，都是對(duì)安全的巨大挑戰(zhàn)，如果不能很好的處理將帶來(lái)不可預(yù)期的后果。比如新老應(yīng)用，與云與現(xiàn)有安全架構(gòu)的兼容性問(wèn)題？數(shù)據(jù)在云端和本地的風(fēng)險(xiǎn)和合規(guī)問(wèn)題是完全不同的？遷移策略是怎樣的，遷移過(guò)程中，安全策略如何掌控動(dòng)態(tài)變化？虛擬化打破了物理的硬性綁定，流動(dòng)的數(shù)據(jù)和應(yīng)用，安全如何考慮？

　　共鳴：安全責(zé)任歸屬發(fā)生的改變

　　根據(jù)CSA云安全聯(lián)盟發(fā)布的《云計(jì)算關(guān)鍵領(lǐng)域安全指南》對(duì)云計(jì)算安全的定義，云計(jì)算中安全控制的主要部分與其他IT環(huán)境中的安全控制并沒(méi)有太大的區(qū)別，但是根據(jù)企業(yè)采用的云服務(wù)模型、運(yùn)行模式以及提供云服務(wù)的技術(shù)，與傳統(tǒng)IT解決方案相比云計(jì)算可能面臨不同的風(fēng)險(xiǎn)。

　　如上文所述，企業(yè)對(duì)云計(jì)算安全的謹(jǐn)慎態(tài)度，已經(jīng)隨著云的逐步深入，轉(zhuǎn)嫁到其他方面的擔(dān)憂，比如云的效能，可用性等。。云計(jì)算的重要吸引力之一就在在于經(jīng)濟(jì)上的可擴(kuò)展性、標(biāo)準(zhǔn)化提供的成本效率，為了支撐這種成本效率，云提供商提供的服務(wù)和解決方案必須足夠靈活，以服務(wù)最大可能的用戶數(shù)、最大化企業(yè)的市場(chǎng)，而安全集成到這些服務(wù)方案中將使得方案變得僵化。雖然安全只是使得云服務(wù)僵化的原因之一，但與數(shù)據(jù)和信息的所面臨的風(fēng)險(xiǎn)相比，安全的集成必不可少。所以明確的可糾責(zé)性，清楚企業(yè)安全現(xiàn)狀的成熟度，就是有效安全控制的級(jí)別等就顯得格外重要了。

　　CSA聯(lián)盟給出的安全責(zé)任根據(jù)云服務(wù)模式劃分為：在SaaS環(huán)境中，安全控制及其范圍在服務(wù)合同中進(jìn)行協(xié)商，服務(wù)等級(jí)、隱私和符合性等也都在合同中指出。在IaaS中，低層基礎(chǔ)設(shè)施和抽象層的安全保護(hù)屬于提供商職責(zé)，其它職責(zé)則屬于客戶。PaaS則居于兩者之間，提供商為平臺(tái)自身提供安全保護(hù)，平臺(tái)上應(yīng)用的安全性及如何安全地開(kāi)發(fā)這些應(yīng)用則為客戶的職責(zé)。

　　共鳴：私有云與公有云誰(shuí)更安全

　　首先要清楚公有云和私有云的定義，公有云由云服務(wù)供應(yīng)商提供，其云基礎(chǔ)設(shè)施、平臺(tái)或應(yīng)用為公眾或企業(yè)提供服務(wù)。私有云的基礎(chǔ)設(shè)施、平臺(tái)和應(yīng)用只為企業(yè)運(yùn)行和服務(wù)，由企業(yè)自身負(fù)責(zé)管理。當(dāng)然企業(yè)也可以在自建私有云的同時(shí)，一些業(yè)務(wù)也可以選擇公有云服務(wù)提供支撐，這就是混合云的概念了。

　　簡(jiǎn)而言之，私有云是在企業(yè)內(nèi)部署的，有明確的邊界，我們是否就可以認(rèn)為私有云就更加安全呢？正如CSA對(duì)云計(jì)算安全定義的那樣，其實(shí)云計(jì)算安全控制的主要部分與傳統(tǒng)IT環(huán)境的安全控制沒(méi)有什么區(qū)別。更寫實(shí)的理解，公有云供應(yīng)商來(lái)維護(hù)其云環(huán)境的安全，只是其為公眾提供云服務(wù)，私有云是企業(yè)維護(hù)自身云的安全，為自己提供云服務(wù)而已。他們共同面對(duì)的安全問(wèn)題都來(lái)自云計(jì)算的特性，即虛擬化所提供的動(dòng)態(tài)性，意味著即便是私有云，如果云環(huán)境的一個(gè)虛擬機(jī)存在安全威脅，那么虛擬機(jī)間的通信就會(huì)存在安全威脅，那么企業(yè)傳統(tǒng)安全架構(gòu)和防護(hù)措施可能就會(huì)被輕易越過(guò)，那么企業(yè)私有云安全邊界是需要?jiǎng)討B(tài)的變化，還是像傳統(tǒng)安全邊界一樣面臨挑戰(zhàn)？

　　同時(shí)，企業(yè)正在不斷提升其安全系統(tǒng)的級(jí)別，即高級(jí)安全系統(tǒng)的構(gòu)建。那么這樣的系統(tǒng)需要可信，基于信譽(yù)，智能感知，背景感知，自動(dòng)化管理，對(duì)安全策略的動(dòng)態(tài)部署等等。簡(jiǎn)言之，完全打破人工對(duì)安全的更新、維護(hù)、管理，盡量節(jié)約人工成本。那么問(wèn)題就出現(xiàn)了，滿足云的安全自動(dòng)化的能力與目前企業(yè)的人工安全實(shí)踐并不匹配，企業(yè)是該牽強(qiáng)的附和云的自動(dòng)化要求，強(qiáng)上安全自動(dòng)化，還是等待技術(shù)進(jìn)一步完善，在安全與云基礎(chǔ)設(shè)施完全匹配前，平衡更多的條件和因素？據(jù)筆者了解，在未來(lái)發(fā)布的新版本《云計(jì)算關(guān)鍵領(lǐng)域安全指南》中，將有專門的主題，討論企業(yè)私有云安全的內(nèi)容。

　　再看公有云，在《云計(jì)算關(guān)鍵領(lǐng)域安全指南》V2.1中。所涉及的云計(jì)算安全的內(nèi)容范疇大多數(shù)與公有云的安全有關(guān)，正如前文所提到的不同云服務(wù)模式的職責(zé)分配。企業(yè)可能會(huì)問(wèn)既然選擇了公有云服務(wù)，為什么還要對(duì)云環(huán)境承擔(dān)責(zé)任，甚至依然倔強(qiáng)的認(rèn)為私有云比公有云在安全方面更具優(yōu)越性。坦率的說(shuō)，如果企業(yè)決定選擇公有云的服務(wù)，那么首先要充分信任云供應(yīng)商的安全防護(hù)技術(shù)和能力，并與供應(yīng)商明確各自控制范圍的安全范疇，并盡最大可能將企業(yè)本身需要維護(hù)的安全內(nèi)容做到完善;而不是當(dāng)面對(duì)公有云的時(shí)候，模糊職責(zé)范圍，不去履行企業(yè)自身應(yīng)盡的責(zé)任。

　　總結(jié)一下，私有云即使在企業(yè)控制范圍內(nèi)，如果使用不善，依然面臨安全威脅的挑戰(zhàn)，公有云如果與供應(yīng)商一起，通過(guò)合理的職責(zé)劃分和合作，也能達(dá)到更好的安全性。

　　在《云計(jì)算關(guān)鍵領(lǐng)域安全指南》V2.1中，指出了12個(gè)關(guān)鍵領(lǐng)域的云計(jì)算安全控制范圍，分為治理和運(yùn)行。治理部分包括：治理和企業(yè)風(fēng)險(xiǎn)管理，法律和電子證據(jù)的發(fā)現(xiàn)，合規(guī)和審計(jì)，信息生命周期管理，可移植性和互操作性。運(yùn)行部分包括：傳統(tǒng)安全、業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)，數(shù)據(jù)中心運(yùn)行，事件響應(yīng)、通告和補(bǔ)救，應(yīng)用安全，加密和密鑰管理，身份和訪問(wèn)管理，虛擬化。并給出了詳細(xì)的治理和運(yùn)行建議

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊