当用户与市场中挑选一家厂商签约一项IaaS(基础设施即服务)合约时,在将数据存储到提供商的云中之前,一般都需要提供用户名和信用卡。但是,公共云提供商使用这些信息要做什么呢?
研究发现,安全仍然是用户部署云应用时担心的主要问题。各个提供商似乎都在宣传保护云中数据的安全功能。不过,IBM将采取进一步的措施,不仅保护在云中的数据,而且还会监管哪些用户使用自己的云服务。
微软社区网站Redmond Channel Partner最近发表了一篇博客文章,报道了对一位IBM高管的采访情况。IBM全球技术服务部门负责云业务的副总裁里奇·莱奇纳(Rich Lechner)称:“单个人不能使用信用卡注册使用IBM的服务。IBM使用云服务监视每一个用户的身份,因此,IBM知道谁在大楼内。”
IaaS提供商在允许用户数据存储在其云中之前审核单个用户的数据吗?咨询机构CISO Group的执行合伙人艾伦·施梅尔(Alan Shimel)称,对于大多数IaaS提供商来说,希望渺茫。
施梅尔问道:“你真的认为他们会实时地逐个用户地进行审查,审查你是谁和你向云中放入什么数据吗?很可能不会这样做。云的弹性的性质使这样做是不可能的,或者至少成本是不允许的。”施梅尔指出,他不熟悉每一个单个的云提供商的安全政策。每一个提供商的安全政策都是不同的。但是,一些大型公共云IaaS提供商不可能跟踪它的所有用户。
除了莱奇纳在博客中发表的内容之外,IBM发言人不愿意对该公司的政策发表评论。但是,施梅尔称,IBM要了解个人用户身份的另一个潜在的理由是因为IBM的云服务是面向企业用户的。IBM也许要定制一些服务来满足用户的需求。
其它IaaS提供商对于自己的战略都含糊其辞。Rackspace发言人在电子邮件中称:“维护客户的信任和客户数据的安全是我们的首要任务。”她没有提供该公司识别用户身份的细节,也没有说在数据存储到该公司管理的主机或者云环境之前是否审查这些数据。
许多人认为亚马逊Web服务(AWS)是IaaS的市场领先者。AWS提供了一些额外的细节。AWS发言人凯·肯顿(Kay Kinton) 称:“我们不检查用户数据。”她继续说,我们要进行高级的审查以防止诈骗和滥用服务,然后才允许用户使用我们的服务并且接着扩大使用规模。AWS要求用户在使用其服务之前提交一个电子邮件地址、电话号码和信用卡信息,然后向用户发送一个PIN(个人识别码),批准访问AWS服务。
但是,施梅尔称,客户不必要求他们的IaaS提供商确切地知道他们的全部用户是谁。他说,一旦数据存储在提供商的云中,更重要的安全担心是保护这些数据。
施梅尔称,如果有严格的安全措施,那么,提供商就能够保证即使不需要的数据放在云中也不会让它引起危害。这样的做的最佳方法是隔离用户的数据。这似乎是提供商更愿意公开讨论的事情。
例如,肯顿称,AWS指出,每一个用户实例都有自己的防火墙,能够阻止在其云中的其它实例的入侵。AWS使用网络通讯的数据包级的隔离措施并且支持行业标准的加密。对于格外担心安全的用户来说,AWS提供一个虚拟私有云(VPC),为用户提供一个专用的IP地址,如果用户希望拥有这种地址的话。肯顿补充说,亚马逊有ISO 27001、FISMA、SAS-70和PCI等证书。
云和管理的服务提供商VirtuStream负责解决方案架构的高级副总裁肖恩·詹宁斯(Sean Jennings)同意这种说法:以为提供商会审核单个用户的数据是不现实的。他说:“我认为,他们在接受信用卡刷卡,一般不做审核。”不过,这种情况会根据提供商的不同而有所变化。例如,社区云是针对健康医疗或者金融等具体垂直行业的,正在日益流行。作为社区云,提供商会与单个客户更密切地合作以便熟悉什么类型的数据将放在云中,以便更好地优化让垂直行业的客户使用的产品。
Virtustream本身是一个公共云提供商。詹宁斯称,隔离数据是他的公司和其它大多数云提供商最担心的问题。在Virtustream,每一个客户都有一个专用的通向数据中心的虚拟局域网输入。在周围有防火墙并且还有一个虚拟交换机层。这些措施保正任何恶意软件无论有什么理由都不能进入数据中心,恶意软件无法传播。Virtustream监视数据中心中的通讯并且标记可疑的行为。不过,詹宁斯称,即使在一个专用的私有云环境,也许也会有一些核心的网络设备是多个数据中心和客户共享的,如核心企业交换机和路由器等设备。
詹宁斯称,总的来说,不要指望提供商审核用户及其数据,用户应该有义务在把数据放在云中之前验证其IaaS提供商的安全功能。(编译/胡杨)