随着越来越多的公司使用云计算服务,云技术安全成为了企业关注的问题。但是大部分公司在基础设施建设和数据迁移的时候不太在意IaaS的安全。实际上CIO应该在与IaaS提供商签署合同之前对其进行安全评估。
TechNavio分析师称,2012年-2016年,全球IaaS市场预计复合年利率将增长45%左右。而在派纳蒙研究所(PonemonInstitute)和CA技术研究所(CATechnologies)发布的一份调查报告中称,许多云服务应用方并没有在使用初期谨慎挑选云服务提供商。这项调查访问了748名IT专业人士,其中发现,2012年,只有49%的公司在部署IaaS之前组织进行了安全评估。
安全专家为读者提供了几个值得考虑的安全问题,并且提示用户,在与IaaS提供商签署合同之前,最好先试验一下。
“使用基础设施服务(Infrastructureas-a-Service)的安全需求基本上与使用个人数据中心的安全需求是一样的。”云安全联盟董事会主席DaveCullinane如是表示。
他还说:“在这种情况下,应该对将被处理的数据进行分级评估。信息是否是敏感信息,是否涉及到有价值的知识产权,你个人是否会处理这些信息,是否涉及到受法律保护的支付方法或数据安全标准,是否有隐私限制,这些都是应该考虑的。”
“当你将这些数据都分门别类之后,就可以加以适当的控制和安全保护、使用云服务提供商提供的控制策略了。这包括逻辑和物理访问的控制。”他补充道,“此外,企业应该考虑到云服务提供商能够提供给合作者什么样的有效权利,并确定提供商有没有审计权。”
“如果你有合理需求也可以提出,比如谁负责换发年度测试新证,谁负责业务连续性的计划,涉及到安全性和BCP时想要包含哪种协议语言等等。”
PrivateCore安全启动项目的首席技术官SteveWeis表示,企业经常在将数据存储或者移动到IaaS环境中时,对数据进行加密,但是加密过的数据仍旧非常明确易懂。
他说,“企业应该适当保护自己的敏感数据,无论这些数据是在运行状态还是闲置状态。若想保持最优的安全状态,企业还应该持有特定的加密密钥。这样一来,当有合法或者非法的外部信息访问云存储中的数据时,密钥就会开始起作用了。”
来自安全及风险管理评估咨询组织Neohapsis的安全顾问Hazdra说,各企业和组织应该意识到,他们自己对IaaS的安全实施负有大部分责任。云服务提供商将主要负责管理网络基础设施和程序的安全,以及整体云服务的可用性、加密密钥的管理和数据存储方面的管理。
Hazdra说,“作为客户,你应该在了解所有细节之前,将以上提到的这些问题咨询个遍。”
他还补充道,“如果云服务提供商在回答中规避了某些问题,那说明他们在该区域还没有足够强大的控制能力。这虽然可能不会影响到你是否选择他们的服务,但至少提醒你,选择这样的服务会有哪些附加风险。”