对于考虑云部署的公司来说,安全是一大担忧。然而,许多的云安全问题其实都是自作自受。
2014,被认为是“泄密年”,以大型的黑客攻击所著称,Sony、 Target、Home Depot和JP Morgan都在受害者的名单上。当许多IT专业人士忙不迭地将问题指向云时,内鬼的援助或者对于访问控制的大意才是真正的罪魁祸首。这些安全问题在IT内部已经存在了很多年,但是云,以及那种人们对于数据一旦放到防火墙外将失去控制的恐惧,再次凸显了这些问题。
使用云和减负IT系统的压力让安全问题成为人们关注的焦点,并且正在全局上改变IT安全实践和工具。如果云可以做到万无一失,那么本地的运营也会更安全。
尽管安全性仍然是一个普遍的IT问题,云安全问题妨碍了潜在的部署。虽然大多数IT团队将安全性引述为一个云部署的绊脚石,隐私方面的法规常常是为什么许多人将数据保持在本地的主要原因。这催生了一种混合云的模型,其中本地部署的设施可以和公有云一起并维护数据存储。但是,主要的云提供商目前不支持这种方式。在这种共同托管的形式下,托管服务可以比使用Amazon Web Service产生更高的费用。但是共管为云和云之间的连接提供了局域网的网络速度,大幅的降低了公有云实例数和作业运行的次数。
要确保云安全,恰当的使用认证和登陆控制是很必要的。这应该和保护本地部署的数据一样容易,但是云的低成本和低门槛导致了部门级的计算爆炸式增长。无数的研究表明,一家公司的IT足迹有显著的一部分是不在IT部门的控制之内的。这对于HR工具和市场应用,比如托管在云端的Salesforce.com来说,尤其是千真万确。
携带你自己的设备(BYOD)加剧了这些问题,让下载和上传重要的公司数据变得极为容易。比如说,如果员工允许LinkedIn搜索他们的Outlook通讯录,公司的敏感数据就被泄漏了。
在2015年中,IT部门将继续和这些部门级的计算以及BYOD的问题斗争。要限制这些问题,组织必须实现身份管理和增加认证的工作。将坏人阻挡在外是一个好的起点。根据云安全联盟的报告描述,在2014年中将近15%的用户密码被窃取。云安全联盟还确认了一系列内部的问题,从离开公司时下载客户列表或者开发代码,到上传个人或者销售数据到社交媒体上。
要解决这些问题,许多组织使用数据划分的方法。但是,通常都实现的很糟糕。由于NAS服务器的安全性通常极差,员工可以访问在一个部门或者整个企业里所有的网络附加存储(NAS)数据。
入侵防御:2015年SaaS注意事项
在2015年,入侵防御将强调端点探测和移动设备管理。防止下载和上传是很必要的,而一切将从服务器开始。随着入侵防御的发展,新的服务将在这一年中崛起。通过锁定浏览器来防止下载信息在技术上是可行的,那么用一个纯粹的基于浏览器的企业数据访问机制也说得通。
然而一个基于浏览器的机制,并不能解决部门的计算问题。除此之外,这些问题在大多数组织里是失控的。许多管理员试着去命令他们的供应商,多半得到的回应就是:闪边去!最佳方法是一起协作来决定需求。然后,通过一个本地的应用商店来提供应用。这样,就在引入更好的价格的同时,又解决了协商和技术支持的问题。还顺带控制了应用的无序扩张。
如果需要的话,禁止某些应用也是可以的。同样的,通过阻止下载来防止公司文件的上传。这种流程对于本地应用很容易,但是对于那些云端的软件即服务(SaaS)应用会困难些。
SaaS已经成为让业务流程支持更敏捷的阻力最小之路。低廉的价格,又不需要前期资本支出的审批。但在SaaS环境中实施公司管理标准是一个很大的问题,尤其是已经签署了部门级别的协议之后。记住,SaaS厂商主要在公有云上运营,所以又有第二层次的管理问题。
一个好的应用商店可以通过恰当的监管,将SaaS合同与厂商联系起来,但是部门的SaaS才是CEO需要建立交涉规则的地方。要求IT人员在协议之前签署符合审计的声明可能就能达到想要的结果。
当涉及到加强安全性,云有着相比于本地环境来说很大的优势。云安装的规模为云提供商创造了更低的每用户平均安全成本。确保规范和数据管理对于任何公有云或者混合云用户来说仍然是一个挑战。但是在一个充满黑客的世界里,要执行一个成功的云计划,这是一个不可避免的大前提,即使保护本地服务的优先级在列表上也同样很高。
作者:David Linthicum
来源:51CTO