您现在的位置是:首页 > IT基础架构 > 网络与安全 >

因为云 IaaS安全性遭受企业CIO质疑

2011-05-17 22:06:00作者: 来源:

摘要Forrester Research近日调查发现,欧洲58%的企业技术决策者认为是否采用IaaS技术最大的问题在于安全性。...

Forrester Research近日调查发现,欧洲58%的企业技术决策者认为是否采用IaaS技术最大的问题在于安全性。

  而据分析,包括以上担忧在内,各种安全性问题成为了企业选择IaaS的最大障碍。目前仅有2%的欧洲企业采用了IaaS,与2009年的调查数据相同。

  Forrester Research 的分析人员James Staten 认为,企业没有必要因为担忧安全问题而拒绝使用新技术。

  在回答ZDNet的采访时,Staten表示,目前云服务供应商所实现的安全性等级普遍高于一般企业数据中心的安全性等级,因为对于云服务提供商来说,安全性是他们所提供的所有服务的基础。

  Staten 认为,对于云计算安全性的担忧更多的是心理问题,他说:“大多数企业对于云服务的安全性都有疑虑,因为他们不知道在云环境中是如何确保安全性的,同时他们对于自己的数据流传到防火墙外并存储在一个共享的服务中这件事本身就感到恐惧。通过一些时间让他们了解云计算是如何实现安全性的,他们的大部分恐惧就会消失了。”

  维护数据安全人人有责

  抛开云服务供应商所提供的优质安全保障服务不谈,企业本身也需要通过各种手段确保自身数据在传送到IaaS服务器过程中的安全,Staten说:“最重要的是,企业必须明白维护数据安全并不只是云服务供应商一个人的责任。”

  IaaS 供应商只能确保虚拟机环境中的数据安全。一旦数据脱离了IaaS环境,客户就要对数据安全性承担责任了。

  Staten 表示:“无论你将什么数据放入虚拟机中,你都要首先确保它是安全的。我们看到的很多问题并不是由云服务供应商造成的,而是客户自己留下了开放的端口,仅设置了过于简单的密码或登录机制。典型的安全问题都是由于缺乏安全知识,缺乏安全经验,或者某些错误假设而引起的。”

  加密数据是解决这种问题的一个明显的方案,但是Staten指出,这么做会让数据变得更难以处理。他说:“加密是客户解决安全问题的一个工具,但是更重要的工具是重新检查安全策略,并对相关员工进行安全培训。”

  由于很多由程序制造的数据集并没有正确的安全配置,因此让开发人员意识到这个问题的严重性,就是解决数据安全的关键。

如何解决合规问题

  除了数据安全问题,企业还需要确保他们输入IaaS环境的数据,以及所选择的服务供应商符合政策和监管的要求,能够满足诸如Sarbanes-Oxley这样的法规。

  “如果你不能通过监管,或者你所提供的信息不够透明,无法满足监管部门的要求,那么根本就无法开始使用云服务。而就算云服务是安全的,如果服务供应商无法给你提供服务日志,或者不能向你提供运行规范流程,那么监管部门也是不会承认这是合法的云服务平台。”

  因此CIO 需要确认IaaS供应商是否具备合法资质,或者能否提供监管部门所需的各种认证信息。

  解决隐私问题

  Staten 表示,隐私问题也是企业应该考虑的一个方面,因为欧洲和美洲的法规不同,隐私问题可能会给企业带来麻烦。

  比如 US Patriot Act法案中规定,允许美国政府官员从注册在美国的云服务器供应商那里收集被认为有可以活动的数据。

  Patriot Act法案适用于所有美国公司,因此,就算数据被存储在欧洲,而由美国公司负责提供云服务,那么美国政府也是有权获取数据的。因此, Amazon位于爱尔兰的数据中心也在美国的法律范围内。

  Staten 补充说:“也许你所作的各种工作都是合法的,但是假如你的数据与美国政府所监控的某几个人的数据存放在了相同的存储区域内,当美国政府查封那些人的数据时,就连你的数据一起被查封了。”

  Staten 表示,企业很少收到数据被查封的警告,因此他们无法及时将那些不被政府监控的用户数据从该存储区域移动出来,这意味着相应的部分数据从理论上讲丢失了。

  虽然目前云服务商还没有遇到过这样的情况,但是Staten认为这是迟早的事儿,因此企业应该在一个非云环境中对企业数据进行再次备份,以便当云环境中的数据出现任何问题时,可以保证损失在可控范围内。

  还有一个需要注意的问题,即两国间或一个公司与一个国家间的安全港协议,通过某种符合双方法规的方式存储数据。Staten认为,如果是国与国之间的协议,那么可靠性较高,如果是国家与企业间的协议,那么可靠性就较差了,因为其它国家政府如果需要获取相关数据,完全可以跨过这个协议。

  涉及到IaaS,企业总是需要访问不同类型的重要信息。 Staten 认为,企业需要针对不同的应用类型创建简单的风险预测,包括数据存储类型,以及有关如何对待该应用的开发策略。

其他问题不应被夸大

  据Forrester Research表示,欧洲企业好像对于IaaS的担忧比美国企业更多。

  Staten认为,这是因为IaaS技术在欧洲的发展应用相对滞后引起的。欧洲企业更倾向于先把安全问题都解决好,再去实施该技术。

  除了安全问题,欧洲企业对于架构即服务型云技术的效果也有所怀疑,他们担心运供应商无法按照所承诺的实现低成本高效率的应用服务。

  Staten表示,除非服务被用在了企业原先并没设计的用途上,才会出现这种情况,他说:“如果企业正确使用了云服务,那么云服务无疑会帮助企业降低运营成本。而如果企业使用不当,那么就不能降低成本,有时候反而还会增加企业的成本。”

  比如,企业的一套系统如果需要永久运行,那么采用公共IaaS云服务的成本将高于企业在自己的数据中心运行该系统的成本。

  但是,对于那些系统需求程度时高时低的应用程序和处理过程来说,IaaS可以大大降低成本,而企业只需要向服务供应商支付使用服务使用费即可。

  Staten 说:“对于以小时为周期的程序来说,IaaS可以降低成本,而如果程序一整个月都需要持续不断的运作,那么成本就太高了。”

  Forrester Research 的调查显示出人们的另一点担忧,即IaaS还不够成熟。

  Staten认为,虽然一些服务商已经经营多年了,比如 2003年出现的Amazon Web Services ,但 IaaS 仍然处于发展中。

  为了让企业避免因使用不成熟的技术而遭到攻击,Forrester 建议企业每半年对云服务供应商进行评估,确保他们所提供的云服务与企业需求相匹配。

  Staten 表示:“在谈论企业安全的时候,云服务供应商无论何时都不可能给企业百分之百的安全承诺。企业CIO们所要做的是找出此次云服务投资项目的平衡点,即企业所能接受的风险和安全性之间的折中点。这个折中点对每个企业来说都是不同的。”


(本文不涉密)
责任编辑:

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们