对于Logiq³公司来说,选择基于云计算的IT基础设施服务提供商(IaaS)是一个成本和灵活性的问题。
Logiq³的技术副总裁戴维•韦斯特盖特(David Westgate)表示,这家位于多伦多的人寿再保险管理公司于2006年开始运营,无法负担从头开始建立一个数据中心并为其配备人手。2020欧洲杯预赛因此Logiq³选择了云计算和管理IT服务提供商BlueLock LLC来处理其在云中的数据需求。
BlueLock的虚拟化环境允许数据和卷以一种动态的、低成本的方式在系统之间移动,这在传统的托管环境中是不可能的,Westgate说。
然而,在Logiq³将其关键系统委托给BlueLock的云之前,存在安全问题需要解决。这家人寿再保险公司负责处理死亡记录,其中包括社会安全号码等个人信息、财务数据和大型金融客户账簿上的主要资产信息。虽然Logiq³不受美国政府萨班斯-奥克斯利法案的监管,但它在金融领域的客户受到了监管,“所以他们会审计我们,”韦斯特盖特说。因此,Logiq³需要潜在的云供应商证明他们符合适用的法规,并能够提供高水平的安全性。
Logiq³绝非个例。而安全性和遵从性问题在任何基于web的应用程序中都会出现外包安排,企业合理关注将所有内容放在虚拟化云中。这是一个相对新的服务领域,风险未知 - “本身就是一种风险,”Gartner Inc.的分析师Jay Heiser说:“如果我无法弄清楚某些东西的风险,我必须假设它是不是't安全。“
有效云安全的5个提示
*尽可能多地了解软件和服务提供商的安全措施和基础架构。如果您正在使用基础架构 - AS-Service提供商,请询问它可以提供哪些工具来保护您的虚拟环境。
*加密静止及传输中的数据;否则,不要把敏感信息放在云里。
*在你的管理员和服务提供商的管理员之间分配责任,这样没有人可以自由访问所有的安全层。
*检查供应商是否符合SAS 70 Type 2及ISO 27001安全标准。如果你是一家国际公司,也要检查欧洲安全港认证。
*选择有安全记录的高端服务提供商。“一分钱一分货,”Gartner分析师杰伊·海瑟说。
在领英(Linkedin.com)旗下的云计算联盟(cloud Computing Alliance)等网站上,黑客能在多大程度上利用独特的云计算漏洞,一直是热议的话题。到目前为止,在公共云上发生的大规模成功数据泄露事件还很少。然而,就在最近,有人设法建立了宙斯僵尸网络密码盗取在亚马逊公司的EC2云计算基础设施内部,首先侵入亚马逊服务器托管的一个网站。
它是换句话说,早期还有云计算行业。在某些情况下,云供应商在某些情况下,在安全面前播放追赶,而IT经理正试图弄清楚风险是什么以及如何抵消它们。
分配责任
关键的第一步是,基于云计算的服务提供商及其潜在客户坐下来,确定谁有责任保护IT基础设施的哪些组件,这些组件通常横跨两家公司的系统。有时,特别是与IaaS提供商,劳动分工是可以协商的。例如,在Logiq³,Westgate决定让BlueLock处理补丁和配置管理,因为他熟悉BlueLock使用的软件,这是Shavlik Technologies LLC的一款工具。
Logiqì和Bluelock之间的劳动分工实际加强了安全性,因为“没有人或公司,拥有王国的所有钥匙”。西尔特说。因为Bluelock管理防火墙,例如,“我的管理员都不能进入并决定出售或移动数据,”他指出。“而Bluelock管理员也不能这样做,因为他们不控制系统。”
基于云计算的服务提供商的责任在多大程度上取决于服务的类型。
安全厂商趋势科技公司(Trend Micro Inc.)数据保护组的高级主管托德·蒂曼(Todd Thiemann)说,以IaaS为例,客户通常负责保护中间件和api之上的一切,包括应用程序和操作系统。例如,亚马逊的IaaS服务条款规定,客户有责任保护其放入公共云的数据,他补充道。
与IAAS安排相比,一个软件AS-Service提供商通常负责保护任何客户应用程序和数据驻留在其云上。该设置通常适用于预算挑战性的企业,因为它使他们能够获得他们可能无法在内部提供的先进安全技术和资源。
IBM的LotusLive SaaS提供,例如,2009年1月推出,利用“我们使用的相同标准,安全,合规和治理,为一些非常大而重要的公司运行主要业务系统,”IBM在线副总裁Sean Poulley说协作服务。例如,LotusLive数据中心受环境和生物识2020欧洲杯预赛别控制的保护,包括闭路电视。访问控制由IBM的企业级Tivoli软件处理。
然而,许多基于云的服务提供商 - 以及SaaS提供者尤其认为他们的安全实践和技术使他们提供了竞争优势,因此他们不喜欢透露他们如何接近安全性的详细信息。这意味着公司必须采取供应商的单词,即其系统确实安全且符合要求。“供应商几乎没有以满足安全风险评估,”Gartner的Heiser说。“他们可能有令人难以置信的安全和强大的系统,但没有明智的方式来确保这一点。”安全认证标准如ISO 27001和SAS 70 Type 2提供了一些保证,他补充道,并指出“27001与云安全问题更相关,但在应用于新形式的技术时则显得薄弱。”
与云一起玩
许多SaaS供应商不愿让客户将第三方安全产品插入其专有平台,这是可以理解的,即使它只是一个代理,允许客户的安全系统与他们的系统交互。
例如,辉瑞公司已经将一些安全服务外包给了D3安全管理系统公司,并且有意在D3事件管理应用中使用甲骨文公司的Access Manager。但D3对在其系统上安装甲骨文代理表示担忧,这家制药公司的全球运营业务技术经理库尔特·安德森(Kurt Anderson)说。
他说,Anderson通过使用Syplificied Inc.的SinglePoint Cloud Access Manager解决了这个问题,这不使用代理商,而是与D3发布的API进行交互。
因为IaaS客户在技术上拥有供应商基础设施的虚拟部分,所以他们可以安装安全软件和控件。然而,只有少数供应商提供既能保护私有云环境又能保护公共云环境的产品。
其中一款产品就是趋势科技的深度安全7。Thiemann说,一旦它的代理安装在私有或公共云基础设施中,它就可以执行深度包检查,监控事件日志和监控系统活动,如文件更改的非法活动。
Shavlik是一个基于云的供应商,为私有云安装提供系统管理,从不同的角度解决公共云安全性。它将其补丁和配置管理和合规监控软件许可给基于云的服务提供商 - 包括其自己的IAAS提供商,该公司的首席执行官Mark Shavlik表示。
基于云计算的服务提供商认识到,使用成熟的商业安全产品可以吸引客户。对于Logiq³的Westgate来说,BlueLock对Shavlik软件的使用是一个明确的卖点。“我非常熟悉Shavlik:多年来我一直在使用它进行补丁和配置管理,”他说。
云中的访问控制
动态、灵活的资源配置使得虚拟化和云服务对成本高的IT高管非常有吸引力,但也使得在任何给定时间跟踪数据的位置以及谁正在访问数据变得困难。在私有云中是这样的,在基于公共云的系统中更是如此,在这些系统中,访问控制必须在客户和服务提供商(通常是几个服务提供商)之间关联起来。
辉瑞使用simplify的单点云访问管理器,在不同的SaaS供应商和应用程序之间提供单点登录(SSO)功能。例如,当终端用户在Oracle管理的域和simplified管理的域之间移动时,他仍然需要再次登录,但他可以使用相同的一组凭证,Anderson说。
simplified和Ping Identity Corp.是目前为内部和基于SaaS云应用程序提供SSO系统的两家供应商,它们使用联邦身份技术,协调跨多个系统的用户身份和访问管理。然而,Anderson认为SaaS供应商应该采用更全面、更标准化的访问管理形式,这样客户就不必再承担这个负担了。
在处理基于云计算的服务(或与此相关的任何外包服务)时,另一个访问管理问题是如何确保服务提供商的系统管理员不会滥用他们的访问权限。同样,SaaS客户对服务提供商如何解决这个问题没有太多的控制或监督。相反,IaaS提供商通常允许客户在基础设施的虚拟化部分安装事件日志监控软件。
例如,Logiq³使用Sentry Metrics Inc.的安全事件管理服务,监控事件日志,进行趋势分析和异常报告。韦斯特盖特说,例如,当BlueLock管理员登录时,Sentry Metrics系统可以在没有指定任务的情况下向Logiq³发出警报。
检查诚意
然而,无论服务类型是什么,对运营商云服务的客户控制和监控也只能到此为止。那么,如何确保敏感数据得到充分的保护呢?
辉瑞的安德森表示,带罚金的服务水平协议并不能降低成本,尤其是对于一家财富50强公司来说,因为与重大安全漏洞造成的损失相比,“他们能拿回的那点钱微不足道”。
因此,尽职调查至关重要,安德森说。辉瑞采用SAS 70 Type 2认证,由独立第三方审计服务提供商的内部和数据安全控制。安德森还会核实供应商在安全港的合规程度,并检查Dun & Bradstreet的研究,以确保它是合法的。
另一个评估服务提供者的标准是ISO 27001,它定义了设计和实现安全和兼容的IT系统的最佳实践。
Gartner的Heiser说,虽然这些标准提供了一个有用的起点,但他们的标准往往是通用的。他补充说,公司仍需要将服务提供商的特定控制匹配。
Westgate说,例如,在检查了BlueLock的SAS 70 Type 2认证后,Logiq³的IT人员进行了进一步的评估,以“确保我们所要求的控制得到他们已经到位的控制的支持”。他的团队随后跟踪差异,识别缺失的控制,并与供应商合作解决方案。他说,公司计划每年至少重复一次这一过程。
警告用户是没有用的
许多公司希望获得基于云的服务的成本效益,但仍有安全顾虑,它们告诉终端用户不要把敏感数据放到云上。但据海瑟说,这通常是徒劳的。他说:“问题在于,用户往往不知道什么是敏感内容,很可能根本就不会遵守规则。”“你可以假设任何应用程序或数据服务终端用户最终都会获得敏感数据。”
安德森说,辉瑞公司正在建立萨瓦卓越中心来教育用户有关处理SaaS活动的正确方法。此外,他的小组正在建立萨斯服务采购的最佳实践。除此之外,这些最佳实践禁止涉及具有竞争性或个人身份信息的应用程序被列入SaaS设置。
当SaaS提供商将其基础设施或开发平台外包给另一家云服务提供商时(这种情况经常发生),访问控制和权限管理等基本安全任务就会变得更加复杂。