本文讲的是企业用户选择云服务应该注意的四件事,很多人总是认为云环境不太安全,而将应用程序和数据放在他们自己的数据中心才更安全。但真的是这样吗?早在2010年5月,CA和Ponemon研究所对900多名IT专业人士进行了调查,他们发现IT从业者认为在云环境安全风险更加难以控制,包括对数据资源物理位置的保护和限制特权用户访问敏感数据。该调查发现,IT人员承认他们不太清楚哪些计算资源被部署在云环境中,主要是因为这些都是由最终用户从非IT视角作出的决定。约有一半的受访者承认很多云资源在部署之前并没有进行安全评估。
也许所有对云环境的担忧源自于不安全的Web应用程序,而不是云本身。很多顶级web安全漏洞(如跨站脚本和SQL注入攻击)在web服务器刚被发明的时候就出现了,出于某些原因,它们仍然在很多企业系统中“作威作福”。更加讽刺的是,2010年Aberdeen集团的报告显示,基于云的web安全工具比企业内部安全工具出现更少恶意事件。
选择云服务的用户应该要求供应商回答以下四个问题:
1、数据存储在云基础设施时,数据是如何加密的,包括使用中数据和静态数据?
2、是否部署了细粒度访问控制?
3、是否有多余的云基础设施?
4、Web应用程序保护到位吗?
数据加密
数据存储在云端时是如何加密的(包括使用中数据和静态数据)?
大多数云供应商会自动加密传输中的数据(通过要求web浏览器进行SSL连接),但是这些数据是否被保存在加密容器中则是另一回事。最好的办法就是创建一个混合公共/私有云,这样所有云资源都可以位于企业防火墙后面,就像在自己数据中心一样受到保护。
大多数云供应商提供某种虚拟专用网(VPN)保护,这样信息在传输过程中将被加密,并且能够通过普通网络共享来访问。例如,Verizon公司的计算作为服务提供了思科的AnyConnect VPN客户端(从IE浏览器启动)。
其他云供应商提供虚拟防火墙,这个防火墙连接到企业数据中心内部的防火墙,或者与传统思科VPN网关连接。
Amazon网络服务之一虚拟私有云允许你连接任何Amazon云资源到你的企业位置,你可以桥接你的Amazon和企业网络,分配私有IP地址范围,在连接到互联网之前,从云环境运行的应用程序路由流量到内部安全设备。细粒度的访问控制
细粒度访问控制是否到位?
安全政策和访问控制是云供应商仍然在努力追赶物理计算世界的领域。在很多情况下,访问是“全有”或者“全无”的命题,这意味着一旦用户通过云环境身份验证,他们就可以自由地做很多无意的破坏,例如启动或者停止虚拟服务器,或者在云环境制造其他混乱。
在这方面,一些云供应商要优于其他供应商,并允许特定环境内创建虚拟网络或者为个人客户分离访问权。举例来说,美国高尔夫协会想要创建一些新的web应用程序,他们选择了较小的云供应商来获得这种粒度访问,因为很多不同的应用程序组要使用云环境。该协会的信息技术主管Jessica Carroll表示,“我们想要更多的个人支持,并希望我们的IT人员与云供应商靠得更近。我们使用VPN来连接到云网络,但是有两个不同的开发团队在云服务的不同服务器上工作,我们进行了设置,让每个团队智能看到自己的资源,这样开发人员可以在不影响其他设备的情况下重新启动虚拟服务器或者进行其他改变。”
Vmware近日向其vSphere产品系列添加了细粒度访问。其vShield Zones产品包括一个基于管理程序的防火墙来执行每个虚拟服务器的网络和端口连接,并在虚拟环境内设置安全政策和防火墙规则。Verizon的计算作为服务的用户可以根据每个虚拟服务器的端口和协议来设置防火墙规则,正如下图所示。
还有很多第三方安全工具,例如Hytrust的Vmware设备,允许更细粒度的访问控制,哪些用户对特定虚拟服务器有何种访问权限。
相信在不久的将来,云计算供应商将提供更好的粒度访问控制服务。
作者:邹铮/译
来源:it168网站
原文标题:企业用户选择云服务应该注意的四件事