首席信息官(CIO)和首席信息安全官(CISO)们承受着压力,要重新设计他们的信息安全策略以适应新的商业模式:虚拟云计算环境。在该环境中,资源被共享且可转移。
这些技术主管正在设置新策略,并投资新技术以考虑公共和私有云的弹性、自服务供给和共享数据的基础设施。随着用户开发了用于防火墙之外(甚至在防火墙内)的第三方服务,以实共享环境中的协作,用于身份管理的新的策略和系统正在设计中。此外,需要确定数据安全和隐私监测的新界限,牢记迁移到一个虚拟云环境将如何影响合规性。
马萨诸塞州沃尔瑟姆的Raytheon公司的公共领域并没有冒险使用云。为实现成本节约,这家国防设备制造商正在开发共享的、私有的“云类型服务”,如果它和它的合作伙伴可以就美国空军、陆军和海军喜欢的新的程序和产品进行测试、构建和协作,那么该服务可以实现。
Raytheon公司的副CISO兼IT服务总监Michael Daly说:“[在虚拟云计算环境中的]安全问题和控制更复杂。不仅仅是管理简单的变更控制,还需要经历许多信任和祈祷:‘嘿,防火墙控制随着[数据或服务]迁移了吗?当生成和删除这些虚拟机时,负责加密的[安全]密钥得到维护了吗?’”
当谈到共享环境的安全时,,和许多其它的IT主管一样,在这一点上Daly的问题比答案多:随着项目的启动和关闭,公司如何知道谁需要访问哪些信息?用户是否有权访问它?在私有云上参与开发的各方如何就取消用户配置达成一致?这种情况超越了云模型。他说,在业务模式转向业务共享资源,以在协作环境中开发产品和服务方面,云说到底是一个副产品或一种手段。
内部和外部身份管理
企业用户绕过IT部门登录以访问虚拟云计算服务。因此,问题变成,谁有权拨入和拨出云服务?
纽约人寿投资管理公司位于马萨诸塞州的纽约人寿退休计划服务(RPS)部门的IT团队已经选择了阻止访问第三方虚拟云计算服务,并在从自己的网络转移信息的风险方面教育用户。
纽约人寿RPS的管理董事兼首席信息官Neal Ramasamy说:“我知道,[对用户来说],移动到云服务非常容易,但随之带来了很大的风险。我和请求者一起坐下来,以了解为什么他们要访问第三方云。考虑我们的公司战略,我的目标是不要有四家不同的[云供应商],而是挑选一家。”
当Raytheon公司的IT部门标记第三方的云服务请求时,Daly和他的团队解释为什么把文档上传到Google Apps不是好主意。他们然后向业务用户展示其他的安全选项,如公司批准的EMC公司的Documentum系统。
Daly说:“我们要遵守ITAR [武器贸易条例中的国际交通]和其他法规,因此我们可以看到正上传文档和、信息和其他的东西到Google的人的位置,并且我们需要向人们展示正确的做法。”
Raytheon正转移到私有云,为此建立了联邦身份管理系统。这意味着,Raytheon公司将验证它自己的员工,但加入开发项目的公司将负责它们自己的身份验证。
这听起来简单,但事实并非如此。Daly说:“我们必须在我们之间达成法律协议,并且让我们的[云]开发伙伴说:‘好吧,如果我们要检查身份,你将以同样的方式检查身份’,因为并不总是如此。”
遏制风险是在私有云背后的想法,但即使在一个私有云社区,企业也需要处理用户的隔离、权限划分、登录和取消配置。Daly说:“你真的需要知道你最终的边界,以最小化风险。我们并不需要地球上的每个人都有机会参加我们计划的云服务,因此物理安全和更多传统的IT安全防火墙规则是非常重要的。”
然而,这些预防措施也并不没有合规。Gartner公司的研究副总裁Chris Wolf说:“厂商谈跟随用户[通过联邦身份]的跟随我(follow-me)数据,采用加密技术将数据分散到不同的地方,但CIO们需要思考的是在云中的跟随我的规定。有时敏感数据不能跨越边界。”
位于马萨诸塞州萨德伯里的SystemExperts公司的副总裁Richard E. Mackey说,企业开始考虑部署围绕云服务的安全性实践之前,它应该问“外包应用程序用作什么?”和“谁将要使用它?”他说:“当有人称之为云计算时,许多变量决定你的安全性是完全不同的,这取决于您要部署在哪一种模式上:私有云、软件即服务(Software as a Service)、基础设施即服务(Infrastructure as a Service)还是平台即服务(Platform as a Service)。
受惠于云提供商的安全实践
选择一家云提供商类似于与其结婚,因为客户使用提供商确定的系统和安全政策。
企业如何监控用户对虚拟云计算服务的访问,取决于云提供商为其提供的接口。Mackey说:“一个请求回来并击中你的网络之前,[云提供商]如何确保用户是真正的用户?另一种情况是,一些服务允许您使用您的谷歌或Facebook帐户登录。这样不直接经过[活动目录],除非你这样设计它。”
纽约人寿RPS的Ramasamy可以考虑为像电子邮件和Web服务这样的非关键服务寻找云供应商,他说,但他想知道云提供商是否将为公司搭建一个私有云,在私有云中,没有其他人能够进入该环境。如果环境被共享,资源如何被共享,且谁可能靠近相邻的资源集?提供商通过了什么安全审计,遵循国际安全委托授权的哪一部分?
Raytheon公司的Daly说,合同谈判期间的灵活性意愿将成为他的公司选择云供应商的一个决定性的因素。他说:“我不希望必须告诉[业务部门],他们不能外包的东西,因为如果我们这样做,我们将失去保护,所以我要确保如果我们需要,我们可以[与提供商一起]改变我们的密码复杂性,或把我们密码改到356位。当你转向云安全时,灵活性将是合同管理的一个巨大的元素。”
还有一点要说明的:如果一个企业要其数据安全托管于别人,它需要有一种方式可以测量该环境安全性能。Daly说:“如果供应商不让你这样做,你可能不希望与他们达成协定。”