尽管云计算在企业的采用率有所增加,但许多主管还是小心翼翼,不敢将数据迁移到云端。虽然他们不愿采用云主要源自安全和隐私方面的问题,但是那些担心并非总是有根有据。
TierPoint LLC是一家总部位于圣路易斯的云和主机托管服务提供商,首席安全官Paul Mazzucco表示,实际上,许多企业组织担心云安全基本上归因于误区。Mazzucco在近日于纽约召开的云计算博览会上表示,尤其是下列四大误区让主管们夜不能寐。
第一大误区:云端数据天生就不大安全。
Mazzucco表示,许多主管误以为放在云端的数据要比放在企业内部的数据来得岌岌可危。
与此同时,最近重大数据泄露事件纷纷传出之后,业务主管们在企业内部围绕云安全展开越来越多的讨论,这些问题越发让人忧心忡忡。
Jon Williams是总部位于南卡罗来纳州格林维尔的律师事务所Ogletree Deakins的区域支持主管。他说:“我们有一个技术委员会,其成本基本上是我们事务所的几位大股东,他们根本就不是IT人员。如今所有这些IT决策都要受到审批,我们会把想法告诉给他们,他们也把想法告诉我们。不过他们其实在一个劲地挑剔、提出问题。”
Mazzucco表示,尽管业务主管们很担心,但数据在云端通常要比在企业内部来得安全。这是由于,绝大多数云服务提供商一开始就将安全(常常使用多层次方法)纳入到其基础设施中。
将数据迁移到云端还减小了影子IT的风险。所谓的影子IT是指,用户绕过IT部门,访问未经批准的云应用程序。
Mazzucco表示,大多数主管以为本公司运行的基于云的应用程序至多不超过50个,而企业实际使用的云应用程序平均超过500个。制定一项正式的云战略让IT部门拥有更大的透明度和控制度。
第二大误区:安全战略可以等一等。
自任何云部署项目一开始,制定云安全战略就应该是业务部门和IT部门关注的首要事项。据Mazzucco声称,在部署后打上安全补丁了事是没有哪家公司愿意冒的风险。
他说:“这是现在得赶紧采取的措施。”
即便企业组织已落实了适当的安全措施,并且通过服务级别协议(SLA)确保云服务提供商同样落实了适当的安全措施,日常监控和报告也应该总是一个优先事项。
第三大误区:通过认证的云服务提供商保证数据肯定能得到保护。
许多企业组织完全凭借云服务提供商拥有的合规或监管认证数量来评估对方的安全模型。Mazzucco提醒,但不应该是这样。相反,IT部门应该总是“进入到下一个阶段”,评估提供商的云环境。
他说:“总是要核实提供商向你出示的合规认证。”
为此,企业应该对提供商进行独立的安全评估,或者请第三方开展这项工作。首先,要参照云安全联盟的《共识评估倡议调查问卷》(Consensus Assessment Initiative Questionnaire),它列出了云用户和审查人员应当询问潜在云服务提供商的一系列问题。
此外,企业组织应该总是要求提供商的安全实践/做法至少有一定的透明度,并且尽可能在SLA中加以注明。
第四大误区:弄好后就不用管。
正如IT部门不应该在部署后胡乱拼凑安全战略那样,它们也不能在投入使用后就忘了该战略。
Mazzacco表示,可靠的云安全模型应该不断完善。它应该需要多层次方法,需要日常的高级威胁检测,需要实时警报,还需要一致的监控和报告机制。不断更新反病毒和反恶意软件技术在云环境下应当与在内部环境下来得同样要紧。
Mazzucco说:“说到云安全,过去那种‘眼不见心不烦’的心态很危险,要不得。当然,让一支专设的小组查看计算环境的所有层次、所有日志以及安全环境的方方面面,这比老方法要好得多。”
英文:Four cloud security myths debunked