云服务供应商安全性:提升云计算透明度

对于希望利用云计算服务的企业来说,其所面临最紧迫的挑战之一就是透明度问题。他们应该如何评估云计算服务供应商(csp)的安全性,以及他们应当如何确定某特定csp的信誉和可靠性?

于去年推出的云计算安全联盟的安全、信任以及保证注册(star)是促使csp安全性和运营更为透明和开放的一次尝试。但是,也有该行业的其他集团正在努力以提升企业应当熟悉的云计算透明度。虽然他们所采用的方法不同,但其目标是一致的,即进一步推动csp安全性和运营的透明度和开放性。

云计算透明度:开放数据中心联盟

开放数据中心联盟(odca)是一个独立的it联营企业,它向标准、使用模式以及其他与数据中心运营和云计算相关的领域提供指导。其模式是社区驱动,它向odca成员征求意见建议以制定具体的使用模式,提供对数据中心挑战和使用情况特别是关注云计算基础设施的详细考虑。odca关注的核心价值观是增进云计算用户和供应商之间的交互和支持,其目标是创建纳入使用模式关键因素的“工作域”。这些措施包括安全(提供保障和安全合规性监控)、监管(监管框架和碳足迹)、管理、服务(服务目录和计量单位)以及基础设施(虚拟机互操作性和输入/输出(io)控制)。该域中有众多it企业最为关注的问题,其中涉及内部与外部云计算环境的安全性和可用性,并定期发布使用模式的更新。

虽然odca并没有一个像star一样的“自我报告”透明度机制,但是有几个具体的使用模式可直接提升供应商的透明度。首先是采用安全监控使用模式,该模式要求供应商为用户提供一个基于网络的接口以检测种类繁多安全控制的状态,其中包括防病毒定义、入侵防御系统(ips)事件和防火墙日志。当前的模式明确指出,正在进行的工作需要更紧密地配合csa云计算控制矩阵和其他控制框架。实现透明度的第二种模式是供应商保障模式,该模式要求云计算供应商遵守由诸如nist、pci安全标准委员会以及iso等标准组织定义的法规和控制,以及在安全监控模式中介绍的安全板。csp可以达到四个级别的保障:

铜级:基本的安全性,如防病毒、防火墙、漏洞管理、安全事件监控和物理安全访问限制。

银级:相当于一般企业的安全性,其中包括防止网络入侵、事件日志记录、连续性规划以及更为强大的安全性文档。

黄金级:相当于金融组织的安全性,其中包括渗透测试功能、多因素身份验证、存储加密和物理服务器隔离。

白金级:相当于军事组织的安全性,具有更为强大的加密措施和取消云计算供应商管理员的访问。

同样,每个保障级别都有相应具体而明确的要求。例如,“网络与防火墙管理”描述了每个等级的控制和流程,具体如下:

铜级:csp管理所有的防火墙规则,且无需消费者的介入。

银级:csp管理防火墙规则,并接受消费者的一些意见和建议。csp还提供了逻辑物理层之间的网络分隔。

黄金级:由消费者管理防火墙规则,而由csp提供防火墙的管理维护。提供逻辑层之间的网络分隔和应用程序层保护。

白金级:csp完全无法访问防火墙,而由消费者管理一切。提供逻辑层之间的网络分隔和应用程序层保护。

云计算标准客户委员会

虽然并不像star以及odca一样直接为云计算透明度做出贡献,云计算标准客户委员会(cscc)一直主要以使用用例和一般性指导的形式致力于为云计算项目实施者提供战术和战略的变革和建议。其目前的使用用例文档包括对特定控制区域(如资产管理、密码与密钥管理、以及网络安全性)的高层次安全指导。另外,还涉及一些简单的用例。目前,cscc似乎没有提供以保障或透明度为目的的注册,但确实还有一个包括供应商和大型消费者在内的重要成员名单。

cscc也紧密跟随开放云计算宣言,这是一个有超过400名支持者的运动,其目的在于促进云计算控制和配置标准沟通的更开放标准、对话和一致透明度。随着时间的推移,cscc将有可能成为云计算透明度的一个重要贡献者,并可能导致如star计划的改进参与。

随着越来越多的企业寻求过渡到混合云计算和公共云计算模式,对于云计算供应商透明度的需求只会变得更加紧迫。如何努力以获得云计算透明度的成功还有待于我们拭目以待。到今天为止,只有三家企业已提交了csa的star信息:microsoft office 365、mimecast 以及 solutionary。这一点表明,众多云计算供应商可能还没有做好提交该级别详细信息的准备,或者可能还没有很多社区支持或star的知识。尽管如此,云计算用户可以期待诸如csa、odca以及cscc这样的组织可以提供供应商控制状态的监控与报告的有益指导。