斯诺登的有关国家安全局间谍泄漏可能带来的云安全问题对广大公众的关注,但一些企业用户已经在关注如何同时保持其数据的安全采取的基于云的应用优势。
其结果是,企业,基于云的应用程序供应商和安全创业公司都在试图想出想法,使云更安全。
在心脏的主要问题是,基于云的软件作为一种服务(SaaS)供应商必须看到,以做任何有用的数据。例如,在线文字处理应用程序必须能够以读取文档提供拼写检查功能。在线存储供应商必须能够以读取存储的文件,以允许用户搜索的只是他们所需要的人。
由于云供应商必须能够看到实际数据在某些时候,也就是当一个流氓员工,黑客,或政府机构可能会介入,并抓住它的一个副本。
一些企业正在选择放弃了节约成本和使用云应用的方便性,然后再切换回本地软件。据来自信息技术与创新基金会8月的报告中,美国云计算产业可能会失去在$ 22和$ 25十亿以后三年的安全问题造成的。
为了解决这个问题,SaaS供应商和他们的客户正在转向为云计算安全解决方案的一个新的作物。
在一般情况下,这些问题可分成两大类:本地网关进行传递到云供应商,以及第三方的加密设备,虽然允许客户控制键数据限制供应商进入之前加密或令牌化的数据。
代理和网关
与代理或网关,企业安装处所的加密设备,在他们的控制,甚至在像亚马逊公有云提供商的虚拟机的数据中心。2020欧洲杯预赛公司用户希望访问自己喜爱的云服务被发送到代理代替,其中,对用户完全不可见,对数据进行加密或标记化它熄灭之前,当它回来的解密。
这样的做法是公司在欧洲,法规限制到某些类型的数据可以跨越国界的程度特别有吸引力。
云供应商实际上从未看到纯形式的数据,即使在使用它。供应商运用各种手段来确保云供应商可以用,即使它加密的数据工作。
位于圣何塞的CipherCloud公司,在这个领域的领先供应商之一,看到收入增加了200%这个夏天之后相比去年同期的NSA泄漏出来。
“这是我们有史以来最好的季度,特别是在欧洲,而且在亚洲,”公司高级副总裁佩奇Leidig说。
据公司首席执行官普拉温科塔里,200万的最终用户正在使用CipherCloud网关,这对于很多流行的云产品,包括Salesforce的,颤振,Gmail中,Office 365中,亚马逊网络服务,和Box.net提供安全保护。
该产品的工作方式是,CipherCloud网关提供云应用提供商,如搜索和排序所需的最常用的功能。这实际上是一起云应用程序传递的数据是完全加密,使用对称加密,几个数量级比通常用于互联网通信的asymmetic加密更安全。
客户也可以选择使用标记化保护他们的数据。不同于加密,它使用一个数学公式来转换文本,标记化使用码本方法,将具有对于每条信息,要被固定的需求不同的随机产生的代码。断词经常被用来保护社会保险或信用卡号。
该公司正在迅速增加连接器连接到其他云服务,但它也提供了一个标准的工具包,企业可以用它来设置访问到任何他们希望的云服务。
“我们公司的目标是确保用户看不出差别,”科塔里说CSO。“有一个在用户行为没有任何变化。所有人都喜欢seraching,整理和报告操作继续工作,即使在云中的数据完全加密。”
什么套CipherCloud与众不同的是广泛的,它支持云服务,科塔里说。“现实情况是,大多数客户所想超越只是一个单一的云应用。”
类似的方法采取的是总部位于多伦多的公司PerspecSys,例如,客户能够建立自己的网关使用加密或令牌化,甚至在清澈留下一些数据。PerspectSys目前提供现成去连接到Oracle托管型CRM,Salesforce.com,Xactly公司Incent,基石上的需求,和Oracle融合。通常情况下,网关是买和企业用户安装,但现在的云应用厂商自己正在寻找能够提供这种技术。
“我们与SaaS供应商希望提供自己的解决方案的高级版的合作伙伴关系,我们正在与他们合作,在我们的技术,烤,他们可以提供数据安全的版本为他们的客户,” PerspectSys首席执行官David Canellos告诉CSO。
此外,一些国际厂商代表客户在特定国家的托管PerspectSys网关。
“一些国家有数据居留权或sovereingty法律,” Canellos说。“我们有世界上,人们外包perspectSys的管理网关到托管服务提供商很多情况下。”
像CipherCloud,PerspectSys也有一个工具包,使公司创造新的云应用适配器。
另一种方法,一些厂商采取的是用加密的形式,保留搜索和整理数据的能力。
总部位于纽约的公司Vaultive,提供了一个网关到Office 365的Exchange平台,并计划增加对其他微软云产品的支持。
该应用目前支持邮箱,日历,便笺和任务。
“目前的支持是你所期望的Exchange提供的所有服务端操作,”联合创始人兼首席战略官本Matzkel说。“E-发现。法律成立。个人档案。过滤。预防数据损失。所有这些事情在大多数情况下都需要某种洞察数据。”
要做到这一点,Vaultive联合收割机“著名密码算法和工具,以及加密散列值”以这样的方式,云应用程序可以继续对加密数据进行运算,得到的结果,如果它是纯文本的其他元数据。
“它的工作原理进行索引,排序,创建报告,从不同来源加入数据,并将它们关联,” Matzkel告诉CSO。“如果你正在做一些像拼写检查,在实际字需要去应用它来的工作,我们可以实现的代理本身。”
这种方法有一些缺点,但是。
“很多这些功能保留加密方法是不一样安全,说:”安全专家Tsion戈南,在巴尔的摩的SafeNet公司的首席战略官“有你有安全性和保护功能之间做出了妥协,但它肯定是更好总比什么都没有,如果你有一个合规性问题。”
另一个潜在的缺点这种做法是不是所有的功能得以保存。没有加密类型,例如,将允许拼写检查工作。供应商通常移到这个功能到代理服务器本身。
“但它确实繁琐,需要很长的时间,”戈南告诉CSO。“而长期能公司是如何做到这一点?每次云供应商隆重推出了新的版本,他们必须再次这样做。”
加密设备
如果一家公司愿意让供应商暂时看到,以处理它的明文数据,几家供应商都提供加密设备。这些都是物理机或虚拟机,同时确保供应商在使用加密和解密数据存储的数据是完全加密的 - 而没有让供应商看到了钥匙。
这些厂商包括基于特拉维夫Porticor有限公司,位于奥斯汀的Gazzang,Inc.和位于圣何塞的Vormetric的公司
受管制的行业,如医疗保健提供商和支付公司的加密设备的早期采用者之一,根据沙龙丹,共同创始人和营销执行副总裁在Porticor。
“Porticor被部署在供应商的环境,更多的虚拟实例,”丹告诉CSO。“其传回给供应商一切穿过Porticor被加密,一切被解密”。
其结果是,由供应商所存储的所有数据是在加密状态下,并且供应商不具有密钥。同样没有Porticor - 客户持有的钥匙,并决定何时使用它们。
只有数据的最小量是暴露的,并且仅在很短的时间。这在理论上是可能的与供应商的应用的深入了解,以抢正在使用的数据,但将是显著所需的工作量水平的黑客。
“这增加了防止黑客的数据显著的障碍,”丹说。
Porticor声称从其他公司中脱颖而出与基于数学算法,允许键从客户以加密的形式Porticor家电传递一个独特的“同态分裂键”系统这个空间里,所以,即使是被盗,黑客将无法使用它来解密存储的数据。
用类似的加密设备其他供应商是位于奥斯汀的Gazzang,公司侧重于医疗保健和金融部门客户端和云供应商为他们提供服务。
一个客户是位于伊利诺伊州罗克福德,财务规划供应商ScenarioNow公司,它使用Gazzang的zNcrypt设备时,他们决定提供基于云的版本给他们的客户,以确保它的工具。
“其中一个最大的顾虑我们的客户已经是他们的财务信息安全,” ScenarioNow首席执行官Patrick Sullivan在一份声明中说。
Gazzang的zNcrypt在允许企业决定如何以及何时他们的数据可以通过云供应商进行访问增加了一个额外的安全级别。
“你真正想要的是让SaaS厂商才能到正常的一天又一天出处理的数据,而是需要像备份的东西特别许可或复制,” Gazzang CEO拉里·沃诺克告诉CSO。“所以,说,如果超过50条记录一次访问,这可能是一个邪恶的行动。并与密钥管理器支持政策,一个SaaS供应商甚至可以询问某些功能多因素认证。”
使用Gazzang其他SaaS供应商Appcelerator的包括,Castlight,Everbridge和Fireapps,该公司表示。
知道这些厂商的最好的是Vormetric的,这主要是由企业内部使用,以保护他们的数据,让他们的加密密钥由安全管理器控制,使IT部门,没有人可以访问敏感数据。据该公司介绍,财富25家企业的17是客户,包括五大商业银行中的四个。
该Vormetric的工具也越来越多地被使用SaaS供应商来锁定自己的云应用,并把在客户手中的按键控制。除了在静止数据加密和保护按键,Vormetric的设备还允许细粒度的访问控制。
“只有经过批准的用户,流程和应用程序被允许看到的数据,” Vormetric的首席执行官艾伦·凯斯勒说CSO。
还不够完善
当涉及到安全,没有绝对的保证。
即使供应商声称没有获得加密密钥,事情还是可以去错了,在总部位于纽约的451 Research的分析师阿德里安Sanabria的说。
“这仍然不能保证没有一个后门钥匙,他们或者政府没有获得,”他告诉CSO。
例如,安全公司RSA最近警告客户不要使用它的随机数发生器之一,因为它是由美国国家安全局受到损害。
甚至基于硬件的加密可以潜在右在将芯片制成,或者在设计过程工厂受到损害。
“这里面有敲落的产品,像假冒思科的产品,外观几乎一样,但不同的内部,”他说。
最后,他说,我们的目标是管理风险,使用安全的最高级别的可用于最敏感的数据。
这个故事,“SaaS供应商,客户,寻找新的方法,以确保云”最初发表CSO 。