2013新年始伊,伴随云计算应用的大规模落地,越来越多用户使用云计算有关产品,有关云计算负面声音一定会不断出现,下面是一些首席信息安全官和安全爱好者所列出的云计算在安全方面的七大问题,不管是否危言耸听,云计算的建设者都该引以重视,也许来自负面的声音正式创新的最佳途径。
1、没有在一开始就核对身份
安全登录到云计算的唯一的方式是必须通过企业身份管理系统。虽然许多云服务允许企业内部的任何人员在其中进行注册、创建自己的ID和密码,而不用凭借员工在企业的个人电子邮箱地址,但这并不意味着IT部门或企业就应该允许这种情况的发生。
“虽然这在一开始也许很容易,但不整合企业的信息管理系统将使得企业的系统都与某些漏洞可谓是开放的,同时也违反了相关的安全政策,并最终无法确保云计算的安全。”Axway首席安全官约翰蒂伦斯说。
以类似的方式,一些公司正在快速部署IaaS服务——使用自助服务功能,以解决IT部门的缓慢和迟钝。但这种方法绕过了相关的治理,允许在没有防御的情况下访问云服务器。
“人们连接到他们不应该看到的数据,如虚拟机上的传统项目的从来不关的数据。”信息服务集团新兴的技术分析师和云计算专家斯坦顿琼斯解释说。
如果它是一个面向客户的云服务?访问模式是什么?“您将如何对其进行整合以便允许用户以类似于单一内部模式登录。”俄亥俄州立大学首席信息安全官朱莉·塔尔博特哈伯德说。
2、对API安全要求充耳不闻
当公司迁移到云计算,用户将需要API(应用编程接口)所以他们唯一可以利用公司的服务。云计算带来的内部服务和功能接近于客户想要的访问。基于API的整合能够满足这一需求。
移动开发人员使用API在公司内部设备和商业信息之上建立有价值的系统。“如果开发人员能够赚钱,这些收入会削减您的价值链,这样您就可以通过开发者的API门户分享收益。”蒂伦斯解释说。
尽管如此,开发人员访问API服务的API密钥,已然被拿来与密码进行比较。您可曾知道如果您失去了您的密码会发生什么吗?因此,使用云服务API的首席信息安全官们需要有一个坚实的API密钥的安全保护计划。
3、云供应商没有保持足够的独立
随着云服务的发展和新的供应商的不断涌现,诸如亚马逊和Facebook之类的老的供应商已然将最佳方案纳入到了他们的标准中,而且他们的产品也能够为小型企业提供服务,据蒂伦斯说。
“这对于企业内部基础设施部署云计算是一种革命性的方法。”蒂伦斯说。
一切仍在发展变化中,今天最好的云解决方案可能明天便不是最好的选择了。供应商在新标准方面的努力,TOSCA和CAMP(均来自于OASIS,结构化信息标准促进组织)及其提供的工具,使企业可以转移到云架构,而又不会不可避免地把自己锁在一款给定的云。
企业应该利用这些工具保持其独立性,以便使得自己可以切换到新的云方法以便更适合的满足企业的需求。在操作风险管理方面,业务弹性也很好,如果您需要有更好的灵活性,以便您能够快速转移到另一家服务供应商。
4、认为您已然将风险和责任都外包出去了
企业可以将一些基础设施外包给云服务,但不能完全外包您企业的风险、问责制以及对于相关义务的遵守。企业需要让其云提供商提供一定的透明度,以便让他们充分了解自己的风险模型和企业策略。
这些需求能够显示出您的云服务提供商可能适合也可能不适合您企业的某些评估和风险管理。“您不能随便的与一家云服务供应商签下合同,要求云提供商承担所有的风险。”蒂伦斯说。云计算提供商当然也不可能向您自己那样关心您企业的风险。
去年春天的一个例子,那些将自己所有的业务都转移到亚马逊的单一的E2C服务的企业便遭遇了严重的停机问题。而那些将他们的数据存放在多个可用区域的企业便是由于分散了风险,从而能够快速恢复。
5、在没有IT和安全部门参与的情况下签署了云解决方案合同
在没有相关技术背景的条件下,您很容易注册并选择了一些大大小小的云供应商。市场上众多的云服务:Dropbox、SharePoint、亚马逊的额外的计算魅力等等,您的企业可能已经在没有IT相关专业知识介入的情况下使用云计算服务了,就像输入您的信用卡号码一样容易!
“他们的想法是,他们可以绕过诸多的IT项目要求,并形成生产力。”Prescient Solutions首席信息官兼国家网络安全专责小组的成员杰里·欧文说。
不幸的是,这种做法带来了许多新的安全、性能和容错方面的问题。在没有IT部门参与的情况下实施企业解决方案,可能造成用户与现有的系统、配置和应用的冲突。不合格的人员对于监管和遵守相关要求了解甚少,他们可能遇到的麻烦更多。
“虽然这些云应用程序可以提供快速解决特定的功能需求,但他们所带来的风险和脆弱性可能导致显著的成本损失、系统故障、违规行为和面临罚款。”欧文解释说。
正是由于这些原因,所有云的采纳都需要进行风险评估、合同审查、合规性检查和企业内部政策检查。
当在部署和采用云计算之前,没有任何IT、采购或是其他相关部门鸡儿的情况下,企业有可能会失去所有对于相关数据、应用程序、服务和基础设施的治理,塔尔博特哈伯德说。
6、高估云安全
信息安全论坛全球执行副总裁史蒂夫·德宾指出,急于采用云服务,实现潜在的节约,可能会使企业专注于云计算服务的功能,而没有在意云服务提供商提供安全的方式,或如何在安全方面进行检查。
这种情况往往在企业想当然的认为云服务提供商是为多家企业提供服务,他们必须有一个更强大的安全部门和强有力的政策、流程和程序时发生。
“事实往往并非如此。”欧文说。
通常云服务供应商将参加企业内部基本安全水平、自动安全应用程序和平台的部署,完成大部分的安全措施。其他云供应商可能将更高水平的核心安全服务外包给专长的第三方供应商。但安全服务的第三方供应商的服务可能不包括云计算提供者与客户签署的合同要求的相关辅助措施。
“您必须要求服务提供者保持特定的安全功能、文档安全任务,并提供所有安全政策和方案以及安全报告的副本。”欧文说。
7、不理解相关的费用
当云提供商展示他们的产品时,基于潜在客户方面的因素他们经常只展示基本的产品成本。
“不幸的是,在选定一家服务提供商之后,企业经常需要一些额外的服务、软件许可证执照甚至硬件,以便执行所有任务。”欧文说。安全费用和遵守有关规定的成本同样将上升。企业低估了云计算的成本,甚至由于为了满足一些不切实际的内部IT资源期望,他们将需要了解云中的应用程序的数量。
“这取决于云服务提供服务的类型(即SAAS、PAAS、IAAS),企业内部所需资源的数量可能不会改变。事实上,我们很多部署了云计算的客户并没有因为部署了云计算而减少其企业内部的相关职能部门的配备。”欧文说。
在任何情况下,企业将应用程序和系统100%外包到云计算的可能性是很小的。即使企业将他们大多数的系统转移到了云解决方案,但仍然有内部的基础设施、工作站和工程师方面的要求。“这样一来,IT部门的成本只是受到了最低限度的影响。”欧文说。