穿越云安全技术迷雾

用户体验

随着云计算的安全缝隙变得更加显而易见,用户开始寻找保护数据安全的途径。纽约投资银行金融服务机构Cowen公司CIO Daniel Flax依靠云计算实现公司销售活动自动化。尽管他对云计算降低前期费用、减少停机时间和支持额外的服务的潜力感到满意,但他承认他必须努力了解这项新兴技术的安全弱点。他说:“安全是我们必须直接面对的挑战之一。”

设在多伦多和新斯科舍省Halifax的交互生产公司Stitch Media的所有者兼IT主管Evan Jones也担心云计算安全问题。他说:“当你把重要的公司数据交给第三方时,想起来就感到害怕。”

同数量越来越多的IT经理一样,Flax和Jones开始意识到云计算在安全方面没有为公司提供免费班车。去年发表的一份Gartner报告确定了对几个领域中的安全风险的担心,如数据隐私以及完整性与遵从性管理,这些担心应当令那些考虑冲进云计算的人放慢脚步。

Gartner分析师Jay Heiser警告说:“企业,特别是那些属于管制行业的企业,必须权衡云计算服务带来的业务好处与风险。”

云计算最大的风险之一源于其性质:它允许数据被传送和保存在几乎任何地方――甚至分开保存在世界不同位置。尽管数据散布帮助使云计算具有成本和性能优势,但不利之处是企业信息可能保存在放置在隐私法松弛或者甚至不存在的位置中的存储系统中。

Flax使用Salesforce.com公司的Force.com平台实现Cowen全球销售系统自动化。他说确保数据避免存在风险的目的地的最佳办法是与一家是上市公司的云厂商合作,由于是上市公司,因此法律要求该厂商披露它是如何管理信息的。

Flax说,Salesforce.com是上市公司,“因此,我们对管理它们的数据中心的严格的流程和规定感到放心。”他说:“我们知道我们的数据在美国,我们拥有有关我们谈论的数据中心的报告。”

纽约州Troy市的Agora Games是一家建设视频游戏玩家Web社区的公司。该公司对它的云计算提供商Terremark Worldwide将它的数据和应用放在何处做不了主。但Agora的首席技术官Brian Corrigan说,这种情况不久会改变。

他说,Terremark不久将为Agora提供“挑选虚拟机实际上在何处运行的选择。目前,惟一的选择是Miami的设施,但Terremark将增加其它位置,因此这将成为我们可以控制的问题。”

密切跟踪

云计算散布的性质也使跟踪未经授权的活动充满挑战,即使在采用仔细的日志程序时。几乎所有云计算提供商都使用加密技术,如安全套接层技术,来保护传输中的数据。但Heiser指出,确保存储的数据被加密也很重要。他说:“如果数据保存在共享环境中(这种情况很常见),你可以设想未加密的数据可能被未经授权的人员阅读。”

Indian Harvest Specialtifoods是明尼苏达州Bemidji市一家向世界各地的餐馆配送大米、谷物和豆类的公司。公司IT主管Mike Mullin说,他依靠提供商NetSuite公司来确保他发送到云中的数据得到全面的保护。他说:“由于使用了SSL,我对我们的数据是安全的非常自信。如果不是这样的话,我想很多人会遇到问题,而整个云计算行业也会遇到问题。”

Mullin指出,云计算采用者还必须谨慎评估他们自己的基础设施和安全实践,尤其是访问控制。他说:“你的基础设施与提供商的基础设施一样存在弱点。”

使用Amazon.com公司的S3云平台与全布的全球的雇员和承包商共享文件的Jones也认为访问控制至关重要。他说:“我们发现当我们分配不同的级别时,该系统能最好地满足我们。”敏感级别最高的文档根本不传送到云中;它们被本地保存。Jones说:“有一些文档我们不准备传送到云中,但我要说95%的文档不属于这个级别。”

Corrigan说,全面的云计算安全需要一种整体的实现方式。他建议:“为了取得超级安全的数据,从如何保存它们入手,然后解决如何传输它们。通过某种双因素认证方案管理访问。如果你真正担心的话,你可以将你自己的认证服务器保留在公司内部――这保证你掌握控制权。”

遵从性问题

由于云计算将业务数据交到外部提供商手中,因此它使法规遵从性变得比系统保留在公司内部时的风险更大。失去直接的监管意味着客户公司必须验证服务提供商努力确保数据安全性和完整性坚固可靠。

Heiser指出任何云计算提供商应当自愿进行外部审计和安全认证,以确保特定控制的质量。他说:“不愿意合作是个警告标志。”

从业于严格管理的金融服务行业的Flax依靠SAS 70审计来确保他的云计算提供商符合政府和行业要求。他说:“现在有规定数据中心的SAS 70审计有什么要求的标准。” 由美国认证公共会计师协会开发的SAS 70审计涉及数据传输与保存技术和实践,包括网络运营、数据保护和物理安全元素。

Flax说:“我们非常仔细地阅读了这些审计标准,因为同审计某个人的账本一样,仅仅由于审计是全面的并不意味着它们完全符合要求。”

总的来看,IT经理越来越意识到云计算的安全弱点并控制它们的事实表明采用者开始现实地而不是透过有色眼镜看待这种新兴技术。

安全云计算五步走

了解云计算特有的松散结构对传送到它上面的数据安全有何影响。

确保云提供商能够提供有关其安全架构的详细信息并愿意接受安全审计。

确保内部安全技术和实践,如网络防火墙和用户访问控制,可以很好地契合云安全措施。

了解法律、法规对传送到云中的数据有何影响。

关注可能影响到数据安全的云技术和实践的变化。

时间: 2024-09-20 20:26:00

穿越云安全技术迷雾的相关文章

穿越云安全的迷雾 权衡好处与风险

本文讲的是穿越云安全的迷雾 权衡好处与风险,[IT168 资讯]随着云计算的安全缝隙变得更加显而易见,用户开始寻找保护数据安全的途径.纽约投资银行金融服务机构Cowen公司CIO Daniel Flax依靠云计算实现公司销售活动自动化.尽管他对云计算降低前期费用.减少停机时间和支持额外的服务的潜力感到满意,但他承认他必须努力了解这项新兴技术的安全弱点.他说:"安全是我们必须直接面对的挑战之一." 设在多伦多和新斯科舍省Halifax的交互生产公司Stitch Media的所有者兼IT主

《数据分析变革:大数据时代精准决策之道》一2.1 穿越炒作的迷雾

2.1 穿越炒作的迷雾 毫无疑问,围绕大数据已经集聚了大量的宣传和概念炒作.我们必须透过层层炒作迷雾,关注什么才是真正重要的.本节将要介绍的是一些有助于此的概念.本节并没有对大数据的重要性或价值有任何贬低的意思,而是要让大数据切切实实地回归现实本原.可以说,制定切实可行的期望应该是成功迈向大数据的第一步. 2.1.1 大数据的定义是什么?管它呢! 见客户的时候,我有一个经常会被问到的问题:"比尔,在你心里,大数据是如何定义的?"为什么大家总是乐此不疲地纠结于大数据的定义呢?[1]其实,

拨开云安全的迷雾

从2008年开始,随着云计算的迅猛发展,云安全也提上了议事日程.不同厂商对云安全有不同的解读,各种号称云安全的方案扑面而来,但关于云安全的质疑声从没停歇.2010年11月IDG的调研显示:67%的用户部署云计算方案时担心云安全.最近被炒得沸沸扬扬的"棱镜门"事件,再次将云安全无端地拖进舆论的激流漩涡.到底云计算为安全带来了哪些挑战和机遇?中国用户今天的担心是杞人忧天还是不得不面对的.日益临近的雷区. TechTarget 2012年6月对中国企业用户的调查结果显示:79.6%的企业正在

趋势发布SecureCloud云安全技术架构

本文讲的是趋势发布SecureCloud云安全技术架构,[IT168 专稿]7月22日,趋势科技在主题为"Web安全云时代"的发布会上,展示了公司基于云安全技术架构(Cloud-Client)构建的下一代内容安全防护解决方案,用于解决当前面临的快速增长和极具动态性的网络威胁.     根据AV-Test.org的最新统计,全球恶意程序已超过1100万个,传统的代码比对技术正面临着越来越大的困境.SecureCloud云安全技术作为下一代内容安全架构,旨在通过动态对被访问信息的安全等级进

Web云安全技术应用

云安全技术被滥用.Web应用和Web 2.0应用等被恶意利用的几率将大幅增加.黑客们充分利用可编写Web发动攻击,在2009年,利用Web API服务来获得信任.窃取用户的资格证书或机密信息的恶意攻击将会增加.同时,随着允许用户进行内容编辑的网站越来越流行.数量出现飞跃增长,某些网站很有可能导致Web垃圾和向blog.论坛和社交性网站发送恶意内容的大幅度增加,内容包括搜索引擎麻痹.恶意引诱传播和网络欺诈等.此外,这些威胁和攻击将被数种新的Web攻击工具所整合,使黑客们可以发现那些存在漏洞.或者允

WEB云安全技术应用篇

本文讲的是WEB云安全技术应用篇,[IT168 资讯]近日,整合Web.邮件和数据安全防护解决方案提供商Websense发布了对2009年的安全预测报告.其中值得注意的是,"云安全"技术被滥用.Web应用和Web 2.0应用等被恶意利用的几率将大幅增加.黑客们充分利用可编写Web发动攻击,在2009年,利用Web API服务来获得信任.窃取用户的资格证书或机密信息的恶意攻击将会增加. 同时,随着允许用户进行内容编辑的网站越来越流行.数量出现飞跃增长,某些网站很有可能导致Web垃圾和向b

Gartner发布2017年云安全技术成熟曲线

云应用的快速增长不断提高人们在云计算环境中对于数据.应用程序和工作负载的兴趣.Gartner公司发布的云安全技术成熟曲线有助于安全专业人士了解哪些技术已经准备好应用于主流应用,而对于大多数组织来说,这些技术还需要几年的时间才能实现.(见图1) Gartner研究副总裁Jay Heiser说:"安全顾虑仍然是避免使用公共云的最常见原因.然而,自相矛盾的是,已经使用公共云的组织却认为安全是其主要的好处之一." 截至目前,大多数云服务提供商的抗攻击程度并不足以说明云不够安全,但这些服务的客户

瑞星发布集成虚拟机与云安全技术的2010网络版

4月15日,信息安全厂商瑞星公司召开隆重发布会,正式发布2010年企业级旗舰产品--"瑞星杀毒软件网络版2010"系列.该系列产品包括六种版本,产品适用范围覆盖了小型企业.大中型企业.金融机构以及政府单位等所有企业级用户.即日起,瑞星公司针对中小型企业用户展开市场推广活动,瑞星杀毒软件网络版(中小企业)将推出服务期为 三年的新版本,随后瑞星将在全国近百个城市进行安全巡讲.同时,广大企业用户也可登陆瑞星网站(www.rising.com.cn),下载试用该产品(可免费试用一个月),了解新

云安全技术比普通的安全技术有哪些优势呢

一.分析局域网安全威胁所在 业内人士认为:对单位内部网络的威胁主要来自于不是单位外部,而是单位内部.因此,将精力放在防止网络遭受来自于单位外部的攻击,而忽视来自单位内部的网络安全威胁是错误的. 根据CISCO安全部门统计,实际上约70%以上的安全事故(特别是失泄密)来自于单位内部.所以,由于对内部网络安全威胁认识不足,单位安全部门没有妥善采取科学的防范措施,导致来自于内部的网络安全事故逐年增加.之所以说单位内部网络安全隐患除了来自安全系统的部署缺陷,更大的是来自于单位内部员工,其表现在: (1)