年关已到,静静地回想安全行业发生的一些事件和热点新闻,云安全是一个不可或缺的话题。今年看来,假如从天上掉下十块石头砸中十个中国会场,砸中九个会场的热点话题离不开云计算,在这九个关注云计算的会场中,安全问题也许是每个会场必讲的一个热点。
悲观云安全
云计算的安全是许多厂家和学者们焦虑和讨论的话题,对云计算的乐观与对云安全的悲观形成了鲜明的反差。Symantec(赛门铁克)公司和Ponemon机构所做的一项联合调查显示,30%的受访者称会在产品部署前评估云计算供应商,23%的受访者要求提供安全合格证明,只有19%的受访者表示提供了云应用时的数据安全培训,此外,有超过75%的受访者认为云计算效果低于预期。
大多数用户对于云计算缺乏信心的原因首先是因为对于云模式下的使用权限和管理权限有顾虑。在虚拟的、复杂的环境下,如何保证自己的应用、数据依然清晰可控,这既是用户的问题,也是云服务提供商的问题,而这一点也是信息安全界看得比较清楚的。
虽然作为外包服务,云计算确实非常具有吸引力,但是对于企业和政府而言,云计算却是安全和法律雷区。云服务供应商经常对其数据中心和操作保密,并声称这样做能够提高数据安全性。
企业和行业分析师已经厌倦云计算供应商这种“不问不说”的态度,没有保密协议,也不回答问题,并且数据中心的位置和操作都被当作国家安全机密一样保密。而公共云服务供应商则认为他们的这种保密机制是适用于云模式的,并且所有云服务供应商都是这样做的。
安全专家表示,选择云计算的企业可能熟悉多重租赁(multi-tenancy,多个公司将其数据和业务流程托管存放在SaaS服务商的同一服务器组上)和虚拟化等概念,但这并不表示他们完全了解云计算的安全情况。云安全联盟(CSA)执行董事Jim Reavis认为, 云计算是计算机时代的新篇章,其实就是将各种技术集中在一起创造出一种具有独特管理制度的应用程序,但只要深入了解就会发现其不同之处。
企业运用云计算的速度通常都让安全专家感到惊讶,安全专家Reavis认为,企业应该采取更加务实的做法,例如采用风险评估来了解真正的风险以及如何降低风险,然后再决定是否应该部署云计算技术。
