在面对云计算技术的众多担忧之中,企业对于云安全问题尤为顾虑,相关新闻和统计数据也得出了这样的结论。从软件开发人员和架构师,再到首席执行官和首席信息官,他们对云安全问题都忧心忡忡。CloudPulseCloudPlus在今年3月份的研究表明,安全是云采用的最大障碍,这与33—36%受访者所说的一致的。
2013CloudPlus的调查中显示,在近1300名业务和IT受访者中,有超过32%的人表示云环境的安全性不足。当然与这个话题相关的约34%的人被排除,因为他们不能完全控制云环境。其他公司的调查显示了对安全性的高度关注。AWS峰会发言人JDSherry近期表示,近期趋势科技调查的54%的受访者,他们对安全性的顾虑阻碍企业云的采用,JDSherry现担任趋势科技技术和解决方案的全球董事。
谁来负责云安全的特定区域?
专家DanCornell表示,组织假定云提供商提供的安全服务并不安全,SanAntonio的安全工具ISV和咨询公司DenimGroup的总裁Cornell说:“因为设置云服务器很容易,他们认为有人正在关注着他们。但在很多情况下,并没有人注意他们。”对云服务和应用安全性的长期恐惧气氛,源于提供商和用户。他们说,这归咎于云服务提供商缺乏有关安全责任分工的信息、潜在云用户的低效率分析以及缺乏创新想法。
而值得庆幸的是,一些云服务提供商已经将安全信息从小字体转变成为粗体标题,正如上述AWS峰会会议所证实的那样。“安全2013”会议阐明了亚马逊网络服务和用户的安全责任:AWS:设施;物理安全;基础设施;网络基础设施;虚拟化基础设施。AWS客户:操作系统;应用;安全组;网络ACL;网络配置;账户管理。
云服务的用户负责代理的性能,其使安全资料、防火墙、主机入侵及更多的管理可行。Sherry说:“你必须着手处理托管水平,因为它与你密切相关。传统的网络设备不可行,因为他们只能有限控制网络。”对公司当前的安全系统而言,担负起用户方在云应用和服务安全方面的责任,有点言过其实,主要是因为云服务的动态特性。例如,没有维护云应用的内部人员,对于CloudPlus2013受访者中21.6%的人来说是一个不争的事实。
在云环境中,运行典型的企业安全流程是很困难的。不能更快扩大服务器规模,使你在云中陷入困境,”他解释道,“你的配置及重新配置的标准流程可能无法处理这个问题。显然,当前性能与云服务安全需求的慎重评估是必要的。Cornell建议,当应用迁移到云时,观察使用模式将如何改变。
使用第三方的云安全服务来填补内部能力与云责任需求之间的空缺,是一个有效的方法,也有前提条件。如果你的物理服务器不具备那种性能,那么就依靠服务。
根据2013CloudPlus的调查结果显示,在未来一年,安全即服务的使用将增加。现在大约6%的人使用安全服务,但17.3%的人将在明年使用。大多数的54%的人,将使用安全服务来增强而不是取代现有的内部安全流程。大多数(47.7%)的人将使用电子邮件安全服务,(27.3%的人将使用)安全信息和事件管理。大约20%的人计划使用云服务的身份和访问管理、入侵检测和预防、漏洞测试和软件弱点评估和管理。
调查中,有52%的参与者表示,他们在安全服务领域仍对供应商锁定存有恐惧心理。当然,从大型机时代开始,这种锁定机制已成为现实,并得到企业决策者的重视。在选择云提供商时,比如在战争中,在保证不会有灾难产生的情况下,急需退出策略。