目前,安全问题仍然是企业部署云计算资源的主要抑制,一名Gartner分析师称,最大的问题不是在云环境中数据可能被破坏,而是可能出现云中断,从而导致数据丢失。
Gartner云安全分析师Jay Heiser表示,目前存在这样一种看法,即使用云计算最大的风险是关键数据可能被泄露,但是我们很少看到这样的情况,可以说屈指可数。在2011年,索尼曾遭遇数据泄露,涉及其云端数以千万计客户的信息,也出现过极少数从云中泄露个人身份信息的其他泄露事故。
Heiser表示,现在更普遍的是云中断和数据丢失,在这方面,企业的准备工作非常欠缺。
让我们回顾一下过去几年的重大中断事故。市场领先的云服务供应商亚马逊Web服务在过去两年经历了三次重大中断。在经历2011年4月的弹性计算云(EC2)中断后,一定程度上的数据已经无法挽回。Evernot在2010年丢失了6000名客户的数据,而Carbonite在2009年丢失了部分客户的备份数据。
Heiser指出,很多这些中断事故是由系统升级中存在的错误造成的。例如,亚马逊表示其最近的数据中断是因为安装在其数据中心的心的硬件而造成的。
亚马逊的中断导致Reddit、Imgur和其他流行网站被关闭,亚马逊在事故后进行了善后工作。
Heiser在本周Gartner主办的在线研讨会上表示,这些问题一遍又一遍地出现,所以它们很可能会再次出现。尽管这是云用户最关注的问题之一,但根据Gartner最近的调查显示,只有一半的企业部署了程序来评估期业务连续性流程。他补充说,安全泄露问题不应该被忽略,但更为紧迫的问题是围绕在业务连续性上。
Heiser表示,云计算行业正在慢慢解决这些问题,但是正在试图推动云安全改进的供应商、用户和第三方机构应该要做得更多。
在服务水平协议(SLA)中,供应商一直不愿意解决数据丢失的安全可恢复问题。Heiser表示:“大家都在抱怨说,云服务供应商对于他们具体如何保护客户一直含糊其辞。”一些供应商表示,他们不会公布这方面的信息,是因为这样做可能会存在一定的安全风险。供应商多次声称能够提供高水平的数据可用性和保密性,但Heiser表示,他们并没有提供相关证据,来让客户验证其说辞。
在这方面,用户应该更加积极主动。用户需要做的第一件事情是分类数据,标记真正需要保护的数据。不完整或者不存在的数据分类是一个常见的问题。Heiser表示:“如果用户不知道特定数据所需要的与其他数据不同的安全要求,这将很难评估供应商是否能够提供足够的安全性。”
第三方组织正在努力为这些方面制定标准和认证,但Heiser表示,目前这方面仍然很欠缺。例如,云安全联盟采取了广泛的措施来解决各种问题,但这些措施不够深入到解决特定领域的根本问题。
FedRAMP是美国联邦政府对其使用的每个云计算服务供应商列出的共同安全标准程序,但它仍然处于早期阶段,要等到2014年才能够使用。Heiser表示,“我们已经开始了解我们需要什么,但我们需要做更多的工作:标准控制、评估做法和达成全球共识。”企业处于最佳位置,他们最能够对供应商施加压力,让供应商对这些问题做到尽可能的透明。
那么,企业云用户应该做些什么?Heiser表示:“选择你的云控制‘战役’。”宏观趋势是越来越多的数据将出现在越来越多的最终用户设备中,这让控制数据变得更加困难,同时创造更多漏洞。通过数据分类,企业可以优先考虑需要高度安全保护的数据。对于大多数企业而言,极为重要的数据将低于总数据的20%,甚至可能低至5%或者更少。对于这些数据,企业应该“拼死保护”,采用加密、令牌化、数据丢失防御系统或者将这些数据保存在企业内部,而不是公共云中。还应该部署杀毒软件、反恶意软件和其他安全保护以及控制来确保其他数据不会太容易受到攻击。在现在的情况下,现实的情况是,用Heiser的话说:大部分数据将需要保护自己。