早在2011年我在旧金山举行的年度信息安全大会RSA Conference上做新闻报道时,问过与会人士:“安全领域炒得最火的话题是什么?”
大家无一例外地回答:“云计算”。
四年前,云计算可能炒作过头,不过如今它却是必不可少的业务驱动因素。遗憾的是,由于对有效使用的认识存在着混淆,导致业界出现了一系列误区,常常让许多CIO惴惴不安。
哪些是不断流传的云安全误区?哪些才是真相?下面是行业专家们要说的话。
1. 云天生就不安全。
Mimecast公司的网络安全专家Orlando Scott-Cowley认为:“一直流传甚广的最大误区就是,你放在云端的数据不安全。这年头外面仍有大批的服务器拥趸,他们声称数据放在自己的网络上来得更安全;他们在服务器机房里能切实地控制服务器,看着小小的指示灯闪烁,觉得很放心。”
Softchoice公司的技术服务经理Tim McKellips说:“对于不在自身控制范围之内的东西,人们自然往往觉得天生不太安全。我认为,微软等云服务提供商正在付出巨大的努力,以一种普通客户无法做到的方式确保云环境安全。”
众多专家提出了这个根深蒂固的误区,认为相比普通企业,云服务提供商拥有更强的专业性和更多的技术人员。
LiquidHub公司的合伙人兼全球Salesforce业务负责人Brennan Burkhart说:“云服务公司正开始大规模地投入,规模之大是任何一家企业组织所无法比拟的。”
Nimbix公司的首席技术官Leo Reiter补充说:“网络安全称得上是云服务公司的立足之本,而另外大多数企业组织通常并不将安全列为是核心竞争力之一。”
Whatisitwellington网站的作者兼IT顾问Ian Apperley另补充道:“云计算提升了贵企业的安全;如果贵企业自己来搞,根本负担不起因此需要的成本。这要归功于云的规模经济效应。”
2.云安全争论很简单。
ISG公司的首席顾问Scott Feuless认为:“最大的误区是,云安全问题实在太简单了。”
“云不大安全”这个观点没有考虑到决定部署云服务所涉及的许多变化因素,比如贵企业的规模、现有的内部专长、你的竞争对手有哪些、是否需要为每一次部署执行渗透测试以及贵企业的扩展需要。
没必要将云看作是只能二择其一的决定。Netskope公司的首席执行官兼创始人Sanjay Beri说:“这不是‘是或不’或者‘允许或禁止’的问题。正是由于无所不在的API(应用编程接口),现在有一些工具和功能让IT人员能够在许多环境下确保云安全,满足用户的独特要求。”
3. 云端数据泄露事件更多。
这个误区再次让一个非常复杂的问题简单化了。据《2014年春天Alert Logic公司云安全报告》声称,内部服务提供商和云主机托管服务提供商(CHP)都发现从2012年到2013年,漏洞扫描的数量急剧增加,CHP的增幅略高一点。但是内部环境受攻击的风险要高得多,这取决于攻击类型,比如恶意软件和僵尸网络。
KEMP科技公司的产品线管理主管Jason Dover说:“对私有云基础设施和服务提供商网络而言,互联网威胁完全是同样大的风险。”
Huddle公司的总裁兼联合创始人Alastair Mitchell说:“如果实施了预防和检测攻击的正确的安全政策,攻击对云构成的威胁其实与对基础设施的其他任何部分构成的威胁一样小。”
ASG软件解决方案公司云部门产品管理副总裁Torsten Volk特别指出:“公有云提供商通常雇有一支技术过硬的安全专业团队,它们还拥有规模经济效应,有能力购置最先进的专业安全设备。它们的声誉维系于此。”
4. 对数据拥有物理控制意味着安全。
Splunk公司的Splunk Cloud主管Praveen Rangnath说:“云安全方面的最大误区是,控制是安全或者说是缺乏安全的基础。其实,可见性才是基础。”
NaviSite公司的总经理Sumeet Sabharwal补充说:“过去几个月诸多的重大安全事件足以表明,数据的物理位置不如访问及相关控制措施来得重要。”
CliQr公司的企业开发执行副总裁David Cope表示,相信数据位置误区让注意力偏离了较为常见的攻击途径,比如利用人性弱点和恶意软件。他提到,韦里逊公司(Verizon)的《2014年数据泄露调查报告》就是这一安全威胁趋势的佐证。
5. 保持云安全要困难得多。
Flux7公司的首席执行官Aater Suleman说:“我们在安全方面常常碰到的一大误区就是,在云端保持安全要比在企业内部保持安全来得困难。”
WatchGuard公司的安全战略和研究主管Corey Nachreiner特别指出:“最终,‘云’完全就是别人的网络。”
Suleman继续说:“相信这个误区导致许多公司不是以业务需求的名义危及安全,就是尽量让关键任务型应用系统不使用云。”
Denny Cherry & Associates Consulting公司老板兼首席顾问Denny Cherry强调,其实安全问题很相似。“SQL注入攻击(系统面临的最大安全风险)仍是云环境面临的一个问题,但可以用与内部环境一模一样的方法来解决。无论是面对云服务提供商还是面对内部系统,防火墙配置、渗透测试和VPN等都完全一样重要。”
6. 你可以在云应用程序周围竖起边界。
Cohesive Networks公司的首席执行官兼联合创始人Patrick Kerpan说:“由于应用程序遍布互联网,如果企业认为可以在自己的所有应用程序周围竖立起边界,那它准是疯了。”
Sookasa公司的首席执行官兼联合创始人Asaf Cidon补充道:“即便面对云,人们仍然从基于网络的安全这个角度来考虑问题。他们仍试图利用反向代理和防火墙来保护自己的网络、远离云。”
Kerpan继续说:“安全应该延伸到每一个企业应用程序。”
Fluke Networks公司的安全分析师Greg Rayburn也表示:“需要多层安全防线来对付黑客。根本不存在哪一种高招。”
CMI公司的解决方案副总裁Tim Cuny说:“边界因云而延伸,边界已经因移动技术和物联网而支离破碎。应当摈弃保护网络边界这个旧观念,将注意力放在一项全面的风险管理计划上,致力于从人员、流程和技术的角度来保护资产。”
7. 我不用云,所以得到了更好的保护。
尽管许多人可能试图自欺欺人地认为自己不用云,但我们都上网,都面临许多同样的威胁。
Harmony科技公司的总裁Peter Landau认为:“如果你的系统连接到互联网,那么你已经在云上。”
CloudCamp公司的联合创始人Dave Nielsen补充道:“最大的安全威胁就是将任何设备(笔记本电脑等)连接到公共互联网,或者将任何软件部署到公共互联网上。”
8. 可以遏制影子IT。
SysAid科技公司的首席执行官Sarah Lahav说:“无法避免员工自行购置云服务给安全带来的影响或后果。”
不过,虽然IT部门无法控制IT消费化,但是一旦出了任何技术问题,IT部门仍难逃其责。
Fluke Networks公司的首席技术官Bruce Kosbab说:“业务用户遇到应用程序性能糟糕的情况时(包括SaaS应用程序方面的性能问题),IT部门就要担负责任,解决问题,尽管IT部门可能与所使用的基础设施毫无瓜葛。为了避免这种情况,IT和业务部门必须通力合作。”
CloudTweaks网站的资深作者Steve Prentice补充道,充分代表各部门的管理层(包括首席执行官)必须对云安全政策的设计、部署和维护负责。
9. 云安全完全是云服务提供商的责任。
RiskIO公司的战略副总裁Jeff M. Spivey说:“一个常见的误解是,云服务提供商自然而然满足客户数据和流程的所有安全要求。”
Avail Partners公司的执行合伙人Scott Maurice说:“就因为获得了针对云工作流程制定、实施和执行安全措施的工具,并不天生可以规避攻击或危害活动数量增加引起的业务风险。”
ASG公司的Volk补充说:“密码政策、软件补丁的发布管理、用户角色管理、人员安全培训和数据管理政策,这些都是客户需要担负的责任,起码与公有云提供商所做的安全工作一样重要。”
就在你加固内部安全的同时,别想当然地以为云服务提供商备份你的数据,万一出现安全泄密事件,它能够恢复数据。
Galeas Consulting公司的总裁Bruno Scap说:“实施将放在云端的数据备份到本地备份系统或另一家云服务提供商的备份解决方案,这一点大有帮助,也至关重要。此外,为了防止安全泄密,你可能需要从已知干净的备份来恢复数据。”
10. 你不需要管理云。
Oildex公司的软件工程副总裁Michael Weiss说:“许多人以为,由于云基础设施常常根本上就是一项托管服务,服务的安全同样受到管理。许多基于云的系统之所以无意间变得不安全,是因为客户不知道自己需要采取一些措施来确保安全,因为他们以为提供商做了内部安全人员传统上在默认情况下会做的工作。”
Zensar科技公司的助理副总裁兼云专家David Eichorn说:“任何数据中心需要什么样的安全机制,云安全就需要同样一套机制。云数据中心与任何数据中心一样具有弹性,不过要是相应的IT操作人员没有定期监控政策、流程和工具,安全漏洞就会出现。”
451研究公司的企业安全业务高级分析师Adrian Sanabria说:“要明白界线在哪里。谁对什么负责。通常而言,云服务提供商基本上要负责其网络上及其数据中心中的一切。然而,硬件层和低级网络层上面的一切则是客户需要负责的。”