据it行业协会CompTIA称,在云安全方面,企业对云提供商很有信心,但也不愿意公开某些类型的数据和应用程序。安全供应商维护的问题是可见性和控制性的问题,每个供应商都有一个解决方案。
这是一个经常被重复的咒语:从事或研究各种类型云计算的组织都关心安全问题。事实上,对安全、数据隐私和数据驻留的担忧经常被认为是采用云的障碍。但这些担忧有道理吗?一些安全专家说,可见度和控制是缺失的元素。
在IT行业协会(CompTIA)最近对IT和企业高管进行的一项研究中,发现50%的受访者表示,他们对基于互联网的应用(如云计算和软件即服务)的更大依赖是造成网络安全担忧的一个驱动因素。但许多云专家说,在很多方面,云中的数据比在内部安装更安全——或者至少正在迅速成为这种方式——特别是对于较小的组织,它们没有资源专门用于安全技术和专家人员。
安全人员问题?
对于各种规模的组织来说,访问足够多的具有安全专业知识的IT人员可能特别棘手。CompTIA说,41%的组织报告说,IT人员在安全专业知识方面存在中度或严重的不足。CompTIA说,平均而言,各机构用于安全的员工数量少了大约30%。根据美国劳工统计局(BLS)在2011年增加了信息安全分析师这一类别的数据,这一类别的从业人员的失业率为0%。
克里斯托弗Primault,GetApp.com的联合创始人和董事总经理,企业软件市场是兽医基于云的应用程序,并为小企业组织有关它们的信息说,云计算服务可帮助企业解决此问题得到,因为它们提供专门用于维护的专业人士你的资料。
Primault说:“你的数据在绝大多数供应商那里可能比在你的办公场所更安全。”“我真的相信这是真的。”
他补充说:“我们只使用云服务,所以我们诞生于云。对我来说,将数据保存在内部并保护这些数据的成本会很高。坦白地说,我的数据在云里,我觉得更安全。”
Primault并不孤单。据CompTIA的,使用云服务的企业85%都在他们的云服务供应商有信心或非常有信心,当涉及到安全性。但是同样是这些组织都不愿意将某些类型的数据或应用程序在云中。
“有云的用户中有轻微的矛盾,现在,”蒂姆·赫伯特,用CompTIA的研究副总裁说。“他们传达的云服务提供商的安全性非常强的信心。与此同时,很多企业都非常不愿意把某些类型的数据或应用程序到云环境。公司已经将一些非关键系统的入云,但他们现在还没有在移动他们最关键的系统到云的条款“。
企业尤其不愿将机密的公司财务数据和信用卡数据放到云端。CompTIA发现,49%的小企业、55%的中型企业和56%的大型企业不愿意将公司机密的财务数据放到云端。当涉及到信用卡数据时,50%的小公司,50%的中型公司和53%的大公司不愿意。
云安全评估的缺点
即使组织在云服务提供商和不愿将敏感数据在云中的安全措施的信心之间挣扎,他们也对评估服务提供商的安全策略时,云安全的全俯瞰关键要素,赫伯特说。具体而言,合规性,数据和提供的凭证的地理位置往往掩盖了。
“尽管一些人的疑虑,只有29的公司在研究%的人说他们搞一个重或云服务提供商的安全实践全面审查,”赫伯特说。
在这项研究中,50%的受访者表示,他们有时或很少/从不评估云提供商数据中心的地理位置。2020欧洲杯预赛还有46%的人表示,他们有时或很少/从不评估云提供商的法规遵从性。, 44%的人说他们有时或很少或从不评估一个提供者的身份和访问管理。
据CompTIA说,这可能会导致一些不愉快的意外。
“最近,洛杉矶市和谷歌惨痛地认识到,当一个不确定的监管变量被引入云部署时会发生什么,”CompTIA在其第九届年度信息安全趋势研究报告中说。“LA不得不改变计划30000名城市员工转移到谷歌应用程序时发现谷歌应用程序并不完全符合美国联邦调查局的安全要求连接到刑事司法信息系统(CJIS就),清算所的执法数据由司法部。”
CompTIA的补充说,“这是一个什么肯定一个显着的例子是一个更经常发生的组织过渡到云却发现部队的计划变化的与安全相关的元素。随着云计算模式的成熟,一些这些问题可能会自然地工作,自己出来,但在短期,IT解决方案提供商和云供应商能够提供减少此类情况的可能性提供有价值的服务,从长远来看,云服务提供商的安全策略的第三方评定,程序和能力可能成为标准。”
确保云
在此期间,确定安全厂商,使云中的受信任的环境中,企业可以做生意。
“真正的挑战是,企业需要转向云,”多伦多的PerspecSys公司的首席执行官Dave Canellos说,该公司是一家为云计算提供隐私、居住和安全解决方案的公司。“这不是一时的狂热。真正的问题是你如何管理这一责任,并确保你保护你所管理的信息。”
赛门铁克负责产品管理和开发的副总裁Nicholas Popp承认,就安全性而言,云计算还不能完全与本地安装相媲美。但他也表示,他相信这个时间很快就会到来。
“云最终会更安全,”他说。“安全是一个做自己动手操作变得越来越困难。”
波普预测,在三到五年内,云计算将是小型和中型的企业(SMB)更安全的环境,而对于大型企业地平线大概在10年范围内。
“很多人会说云从根本上是不安全的,”他说。“真正的问题不是安全,更多的是控制和可见性。这是信任的问题。Salesforce和谷歌需要有良好的安全性。从安全的角度来看,他们会比大多数公司做得更好。”
Popp说,问题在于企业没有一个良好的机制来将自己的安全策略注入云服务中,而且它们也没有访问日志的能力。
他说:“问题是云计算的人没有给IT提供足够的控制权来制定他们自己的政策。”“这实际上很困难,因为每一片云都是不同的。你有不同的api和安全框架。它们都有不同的方式来实现安全性并公开安全性。我们需要创建一个新的控制点,这样它就可以将自己的策略注入到这些云服务之上。”
此外,他说,一个组织的IT人员需要能够访问日志和备份,这样既符合法规,又能够在某些东西受到破坏时进行取证。
赛门铁克的答案是O3,一个云信息门户,它把它比作地球的臭氧层。它位于组织及其云服务之间,充当一种云防火墙。Popp表示,它将提供三层控制:身份和访问控制层、信息保护层和信息管理层。第一层提供对云中的信息的基于角色的访问,而第二层执行和组织的安全策略。最后一层将捕获所有日志,并允许组织演示法规遵从性。
换位系统采用了另一种方式,尽管它像赛门铁克一样专注于控制信息。
Canellos解释说:“我们让云应用程序成为企业的关键任务,确保它们的敏感数据永远不会移出公司的网络。”“我们帮助你在云中使用该应用程序,但将敏感数据一直保存在防火墙后。”
PerspecSys公司专注于保护飞行中的数据,Canellos表示,这种方法可以帮助降低数据传输、数据处理和存储在云中的风险。
“如果你跟数据中心或云提供商,当2020欧洲杯预赛数据在他们的控制之下,他们的数据中心的周界内,他们可以给你所有的保证,数据可能超过它是否与周边安全SMB网络,”他说。“当数据在飞行?在这一点上,如果你看一下协议的公司与数据中心,这已不再是他们的责任,但会发生什么。”2020欧洲杯预赛
该PerspecSys云网关采用标记化在云计算取代敏感数据。
Canellos说:“我们的解决方案位于云应用程序的终端用户与云之间。”“从本质上说,我们正在调节终端用户和云之间的交易。无论公司认为哪些是敏感信息,我们都会将这些信息转移到公司防火墙后的本地数据库中。取而代之的是,我们使用替代数据。”
以色列公司Porticor也认为云数据的信任和控制是问题所在,但它的答案是加密和密钥管理。Porticor联合创始人兼首席执行官吉拉德•帕朗-尼萨尼(Gilad parnan - nissany)将Porticor的解决方案比作瑞士银行的保险箱。Porticor使用加密密钥分割技术为客户提供一个对应用程序中的所有数据对象通用的主加密密钥,而Porticor为每个数据对象保留自己的一组加密密钥(Parann-Nissany将其称为“银行密钥”)。当应用程序访问数据存储时,它使用两个部分的关键动态加密和解密数据。主密钥本身是同态加密的,所以它永远不会暴露,即使在使用时。
帕朗-尼萨尼说:“客户通过客户主钥匙进行控制,银行会非常努力地保护每个文件和磁盘的安全。”“只有客户的组合键和银行家键将打开一个磁盘”。
此外,Porticor拥有的密钥是用主密钥加密的,所以Porticor甚至不能在没有客户的情况下访问这些密钥。
“假设你不是在和黑客打交道,”帕朗-尼萨尼说。“攻击你的人是你的商业竞争对手,他们会去法院索取你的数据。由于解决方案的性质,我们什么都没有。甚至银行钥匙也不在那里,它是通过主钥匙加密的。如果他们想要数据,他们必须去找客户。”
他补充说:“银行家永远也看不到客户的钥匙。即使它与其他密钥组合在一起,它本身也是通过这种技术加密的。关键是,我们可以在不接触或不了解客户钥匙的情况下管理它们。”
CompTIA的建议,组织评估云服务提供商时所使用的云安全联盟(CSA)作为安全问题的资源。该CSA,一个非营利性组织,具有超过200个问题的清单覆盖数据的完整性,安全架构,审计,合规,管理,物理安全,法律等等。它还出版顶级安全路线图云操作。
雷神Olavsrud是CIO.com的资深作家。跟着他@ThorOlavsrud。
阅读更多关于软件即服务(saas)的内容在CIO的软件即服务(SaaS)中展开。
这个故事,“安全在云计算是所有关于可视性和控制”最初发表首席信息官 。