总有一天,云安全供应商和云服务提供商将说服企业它可以安全地将敏感数据和使命关键的应用程序从私有云移动到公共云。
不幸的是,这一天还没有到来。
本文采访的安全从业人员、顾问和分析师表示,在企业客户能够在公共云,甚至在公共/私有混合部署中找到舒适区之前,云安全供应商和云服务提供商还有很长的路要走。
当被问及企业IT何时会愿意提升他们在公共云领域的地位,从涉足非敏感数据存储,并从Salesforce.com等受信任的实体那里消费一点SaaS服务,到运营关键业务应用程序,答案范围从六个月到两年。
那么,是什么阻碍了公共云的采用呢?在公共云安全问题上的犹豫主要体现在:
•关注多租户虚拟网络中通信通道的安全。
•不确定爆炸式增长的异构移动设备将如何在云中得到安全支持。
•扩展企业中使用的现有身份和访问控制机制的不一致路径。
•关于如何改变可信的加密和令牌化模型,以充分保护存储在公共云中的敏感数据的问题。
技术讨论:公有云与私有云
这些潜在的技术问题被公共云提供商令人惊奇地不愿意为其潜在的安全实践提供良好的可视性水平。对于企业而言,与其云提供商的安全姿势没有适当的窗口将停止必要的审计流程和合规性检查。
但所有接受采访的消息人士都相信,公共云安全最终将达到企业目前对其私人控制网络的预期水平。
成长的烦恼
Waka Digital Media总裁兼首席运营官雅各布•布劳恩(Jacob Braun)表示,公共云已经远远超过了起步阶段。Waka Digital Media是一家总部位于马萨诸塞州西部的管理安全服务提供商和咨询公司。
“它更像是一个最近搬到了一个新社区的天赋了青少年。她看起来比其他人不同。她不同地处理不同的东西。人们感兴趣,因为她有点凉爽,但他们同时回来了“她仍然有点不可预测,”布劳恩说。
但是,让她有点更多的时间,大多数人都想荣耀她的受欢迎程度。
分析师、咨询师和客户表示,既有安全厂商发布的产品,以及解决了云安全中许多问题的初创企业发布的产品,都让他们倍受鼓舞。
客户敏锐地意识到,关于公共云安全的广泛讨论是在他们被迫实际参与之前就开始的,这是一种奢侈的转变,与过去企业计算转移(如转移到局域网、设置客户端/)时的安全处理方式不同服务器企业向互联网开放。
“安全管理员只是简单地处理部署后出现的安全问题,”加里•洛夫兰(Gary Loveland)说,他是普华永道(PricewaterhouseCoopers)咨询业务的负责人,也是该公司全球安全业务的负责人。
随着这些经历的腰带,企业IT商店正在积极地锻炼公共云安全问题。“在他们去添加公共云之前,他们询问了正确的问题,将推动他们的潜在供应商提供云......最多被锁定 - 如果不是全部 - 他们需要的控制,Loveland说。
据阿伯丁集团(Aberdeen Group)的德里克•布林克(Derek Brink) 7月下旬发表的一项名为《安全与云最佳实践》(Security and Cloud Best practices)的研究,在接受调查的110家IT企业中,近一半的企业表示,他们正在采取一种措施,包括向云服务提供商施加压力,要求他们实施强有力的安全措施,并在云服务提供商的措施出现不足时,向那些仍在企业控制下的企业提供技术支持。
企业战略集团(Enterprise Strategy Group)首席分析师乔恩•奥尔提克(Jon Oltsik)表示:“目前企业对公有云的信任相当有限。”但他补充说,这种不信任并不一定反映出任何强有力的证据,证明公共云的安全性很差。
例如,Oltsik说亚马逊“在将安全构建到其[EC2]基础设施、获得所有适当的认证、聘用非常有才华的安全人员方面做了令人难以置信的事情”,并拥有超过500个安全控制措施,应该能为企业客户提供一定程度的舒适。
根据Simon Crosby,Firsor Citrix CTO和溴的创始人,一个寻求建造使用的产品虚拟化为了确保移动客户的安全,今天提出的法律和合规担忧是10年前计算的残余。
克罗斯比表示,目前正在构建的公共云结构实际上比任何私有网络都更能抵御攻击。
克罗斯比表示:“如果你让我开发一款安全的应用,在全球范围内全天候运行,不会有数据被盗的风险,我会开发像Netflix这样的应用,它在亚马逊的公有云上运行。”“这个商店里有300亿件物品。去找我的东西吧。而且它是分布式的,可以抵御来自各种匿名来源的大规模DDoS攻击。是的,我会把它建在公有云上。我不会丢失任何数据。”
IDC安全产品项目经理菲尔•霍克穆特(Phil Hochmuth)在8月份撰写的一份云安全研究报告显示,用户并不看好这一点。当被问及他们是否认为云提供商的架构会比他们自己的内部架构更安全时,500家受访机构中只有三分之一的人表示肯定。
然而,在那些已经投入公共云或混合云部署的企业中,超过一半的企业认为,提供商提供的安全性比各自的IT团队更好。
EMC虚拟云咨询服务经理Richard Rees建议您通过将其推入公共云,可以大大提高一些企业业务工作负载。拍摄消息,例子。在IDC的调查中,Messaging Security注册为今天采用的最普遍的安全软件平台。它在250家企业的30%中使用,在调查的250个中小企业近四分之一。
Rees说:“多年来,IT安全管理员一直在努力处理自动数字签名和安全电子邮件的公钥/私钥加密等问题。这些安全参数是由完全了解它们的IT专业人员在云中实现的。它们在公共云中默认是打开的,因为对提供商来说,在其客户基础上始终如一地管理一个高度安全的用户配置文件更经济。
Rees说:“因此,你可以自动获得(来自云)的高级别保护,而由于各种业务和物流原因,你自己可能无法始终提供这种保护。”
Larry Campbell是戴伊的戴伊·贝塞斯达,MD的国际项目开发公司信息管理和技术副总裁。,世界各地的领域拥有2000名发展专业人士。戴先建立了一个私有云,更好地了解虚拟计算周围的问题,然后今年完成了移动到公共云,使用多个提供商。
戴与NaviSite在云中运行它的Oracle数据库,最近一起使用楷朴书托管其共享数据驱动器、运行SharePoint门户和管理其消息服务。
在Campbell能够确保提供者的安全实践中,坎贝尔能够确保使用DAI的内部内部的提供者的安全实践,有很多内容。“但最终,现实是我们是一个中等规模的公司,没有巨大的IT预算。这些[公共云]提供商具有深入的技术人员,他们对安全问题有更大了解坎贝尔说,云比我们在我们公司内部。“
证明在审计中
公共云业务模型依赖于一个动态环境,它可以承载许多不同类型的工作负载,这些工作负载可以随意移动,以优化底层基础设施。客户希望确保有适当的控制来保护他们的工作负载不受攻击,并希望能够查看关于这些控制的详细信息。
“但这种程度的细节确实超出了大多数公共云服务提供商的业务模式范围。这其中就存在着脱节,”奥尔提克说。
众所周知,公共云提供商对他们的安全实践细节守口如瓶,原因有二。首先,他们不想公开给他们带来竞争优势的安全措施,其次,他们不想冒暴露潜在攻击载体的风险。
当然,一些提供商会给你一个漂亮的仪表板,提供一个窗口,让你可以看到在他们的云中运行的服务。但据cloud Technology Partners的高级云架构师Beth Cohen表示,大多数公司都没有提供足够的安全信息来满足企业客户的需求。科恩认为,该行业不太可能在这一领域看到很大的改善,因为“大多数云供应商不太可能免费提供商店。”
Cohen认为云提供商更有可能将继续转向SAS 70,ISO 2077和PCI DSS等第三方认证团体,以帮助为其企业客户提供一些思想。他们可以获得认证,而不必公开泄露他们如何履行安全承诺。
CA Technologies公司安全客户解决方案部门的首席安全架构师Tim Brown对此表示赞同。“如果有一个云服务提供商通过了所有的测试(以获得公共认可的认证),那么客户选择一个被认可的提供商将比自己寻求认证要快得多。”
“但我们当然不是那么点,但是,”布朗说。
云安全联盟(CSA)——这是一个中立的行业组织,被广泛认为在云安全方面做出了稳定的贡献——正通过其STAR注册表瞄准云提供商披露的问题。CSA对供应商和客户都有相当大的影响力,因为它在编写和发布云安全最佳实践指导文件方面做了大量工作。
CSA STAR注册表对所有云提供商开放,允许他们提交符合CSA公布的最佳实践的自我评估报告。这个可搜索的注册表将于本月上线,它将允许潜在的云客户审查提供商的安全实践,加快他们的尽职调查,并带来更高质量的采购体验。
CSA的执行董事Jim Reavis说,“在专利安全与公平披露之间有一个合理的中间地带”,这就是STAR登记所定位的信息收集水平。CSA矩阵在合规、数据治理、物理安全、人力资源安全、信息安全、法律要求、风险管理、发布管理、弹性和安全架构等领域提出超过200个问题。
但问题是,有多少云服务提供商愿意提供必要的信息。
据CSA研究主管J.R. Santos称,该组织正从两个角度致力于供应商参与。“我们正试图在供应商方面制造一些友好的竞争压力,我们希望客户将参考STAR注册作为其采购过程的一部分,以帮助推动需求。”
约翰·阿姆布拉,技术服务总监模这家位于亚特兰大的风险管理服务提供商与大型企业客户合作,评估在内部和云端部署新产品和服务所涉及的风险。
Ambra说,STAR注册是否能提供关于云提供商环境的足够有效的信息,将取决于你所考虑的服务。
“如果你只是希望得到你的帮助台门票,那么你可能很好地收集那种信息。但如果你想用它们来用于信用卡交易,你仍然可以做腿部并进行全面的方式- 评估,“Ambra说,并指出今天的大多数公共云SLA协议,安全问题的责任(因此,尽职调查的负担)仍然是客户。
推动大型公共云提供商承担安全漏洞的一些责任的客户数量仍然很小,Catbird网络迈克尔贝尔曼(Scotts Valley)的虚拟安全公司Catbird Network队的迈克尔·伯尔曼(Catbird Network)争夺了Catbird与企业客户一起使用以确保他们的私人云,并被亚马逊在其公共云中使用。
伯曼说:“亚马逊通过提供CPU、带宽和存储空间赚了很多钱,同时对存储在那里的敏感数据不承担任何责任。”“让他们改变这一做法的经济手段还没有到位。”
伯恩斯是宾夕法尼亚州卡莱尔的自由撰稿人和编辑。他拥有超过15年的网络行业经验。可以和她联系cburns1227@googlemail.com..