云計(jì)算讓企業(yè)IT心神不寧。只為一件事,這是一種顛覆性的技術(shù)--將計(jì)算資源轉(zhuǎn)化成為一種共享的公共設(shè)施。這種技術(shù)也導(dǎo)致了IT資產(chǎn)缺乏透明度以及較少的控制性。BYOD導(dǎo)致了對(duì)于數(shù)據(jù)丟失和安全的擔(dān)憂,也難怪一些云新手突然沖出“蜂巢
SearchCloudComputing.com同Jim Reavis進(jìn)行了對(duì)話,他是云安全聯(lián)盟(CSA)的執(zhí)行總監(jiān),就公有云和私有云實(shí)際安全問(wèn)題以及企業(yè)進(jìn)入云端的常見(jiàn)誤解和我們進(jìn)行了探討。
安全問(wèn)題通常是企業(yè)為什么小心云計(jì)算列表的首要問(wèn)題。那么,什么是公有云和私有云的實(shí)際安全風(fēng)險(xiǎn)呢?
Jim Reavis:任何時(shí)候,我們進(jìn)入一個(gè)新的技術(shù)平臺(tái),關(guān)于改變的后果會(huì)有很多問(wèn)題。談到公有云,就是一種計(jì)算資源轉(zhuǎn)化成為這種可共享的公共設(shè)施的重大改變。這種技術(shù)中也缺少來(lái)自客戶觀點(diǎn)(業(yè)務(wù)人員和企業(yè))對(duì)于IT資產(chǎn)的透明度,而且不再能夠控制IT資產(chǎn)。沒(méi)有透明度導(dǎo)致了一些未知的問(wèn)題。就我所看到的,云計(jì)算傾向于為中小型企業(yè)進(jìn)行安全升級(jí),因?yàn)樘峁┥棠軌驅(qū)嶋H的在安全實(shí)踐中投資。而且小型業(yè)務(wù)通常進(jìn)行最小的、過(guò)時(shí)的以及不適當(dāng)?shù)膭?dòng)作。這也是為什么小型業(yè)務(wù)蜂擁走向云。他們意識(shí)到這就是對(duì)于其統(tǒng)統(tǒng)IT的實(shí)際升級(jí)。
大型企業(yè)如何看待呢?主要的安全問(wèn)題是什么?
Reavis:對(duì)于大型業(yè)務(wù)來(lái)說(shuō),安全需求確實(shí)是問(wèn)題--法規(guī)遵從問(wèn)題,在云端有所進(jìn)步。我們需要在提供商和客戶之間有一種中間協(xié)議和溝通,從而確保我們可以理解安全需求,而且能夠溝通做哪些可以讓客戶滿意。隨后,企業(yè)逐步形成了一種復(fù)雜的、多層防護(hù)。讓試圖使其服務(wù)能夠廣泛復(fù)制這些需求的云提供商工作有跡可循。你的業(yè)務(wù)越大,你的需求就越復(fù)雜。而且,在無(wú)法完全控制所有資源的情況下,符合所有的這些需求時(shí)可能會(huì)遇到一些挑戰(zhàn)。
這些問(wèn)題在私有云中還會(huì)存在嗎?
Reavis:如果你通過(guò)完整的定義來(lái)規(guī)定云計(jì)算,而且實(shí)際的嘗試在相對(duì)大范圍的環(huán)境中提供這種彈性計(jì)算,就會(huì)有大量相同的問(wèn)題。例如大型金融機(jī)構(gòu),有大量國(guó)際市場(chǎng),可能是分析師和交易員,你必須實(shí)際的提供這些控制。這并不是像私有云中透明度問(wèn)題一樣大的問(wèn)題,但是你要嘗試隔離開(kāi)(從大部分環(huán)境中隔離開(kāi)),以便他們不會(huì)廣泛地訪問(wèn)。私有云變得越大,起開(kāi)始看起來(lái)就越像公有云,因此它們共享了很多相同的問(wèn)題。
企業(yè)IT關(guān)于云安全最大的一些誤會(huì)是什么?
Reavis:企業(yè)將會(huì)變成一種更加客戶化的云,而且會(huì)遷移更多的系統(tǒng)。一些云誤解是因?yàn)閲?yán)重缺乏教育資源。我曾和一些CIO探討,他們否認(rèn)進(jìn)入云端;而是,他們正在使用一種更為管飯的各種SaaS應(yīng)用。在如果你同提供商工作在一起,它們能夠做什么上也存在一些認(rèn)知差距,相反則是草率的看看他們的標(biāo)準(zhǔn)SLA.企業(yè)并沒(méi)有意識(shí)到他們實(shí)際上有很多問(wèn)題可以問(wèn),他們可以同系統(tǒng)集成商或者是合作伙伴一起來(lái)加強(qiáng)云服務(wù)。從提供商的觀點(diǎn),缺少對(duì)于有標(biāo)準(zhǔn)愿景的大型客戶的需求的理解。
你有沒(méi)有發(fā)現(xiàn)企業(yè)并沒(méi)有意識(shí)到他們有能力成為云提供商的中間商?
Reavis:我認(rèn)為這是一種不理解合同層上存在余地、靈活性和談判的可能性的結(jié)合??梢詮募軜?gòu)層面價(jià)加強(qiáng),企業(yè)可以自己連同第三方或者二級(jí)市場(chǎng)服務(wù)。也缺少對(duì)于評(píng)估工具的理解,CSA就提供了很多可用的工具。云客戶可能會(huì)說(shuō),沒(méi)有標(biāo)準(zhǔn),但是如果提供商遵照具體的目標(biāo),你可以詢問(wèn)。我認(rèn)為人們說(shuō)沒(méi)有工具可以用來(lái)評(píng)估法規(guī)遵從,并將其作為不能解決業(yè)務(wù)需求和云環(huán)境的關(guān)系的一種辯解。那么戰(zhàn)略注定要失敗。
CSA最近組成了移動(dòng)工作組。能介紹一下BYOD和云還有哪些額外的安全問(wèn)題嗎?
Reavis:將移動(dòng)和云計(jì)算看做相似的消費(fèi)化結(jié)果是有益的。一方面,消費(fèi)化將其作為產(chǎn)品推銷給IT系統(tǒng),比如云,也導(dǎo)致了更加更加強(qiáng)勁的端點(diǎn),移動(dòng)設(shè)備??蛻艨梢宰约嘿?gòu)買(mǎi)。這些事情聚集到一起,創(chuàng)造了影子IT,個(gè)人或者業(yè)務(wù)部門(mén)可以獲取其自己的后端IT系統(tǒng)。這也導(dǎo)致了很多治理問(wèn)題。當(dāng)我們開(kāi)始移動(dòng)IT分割,我們會(huì)考慮數(shù)據(jù)治理問(wèn)題,以及他們?nèi)绾斡绊憯?shù)據(jù)在哪里存儲(chǔ)。人們會(huì)在這些設(shè)備上使用應(yīng)用商店,無(wú)論他們是合作的或者是自己帶來(lái)的,應(yīng)用商店安全問(wèn)題也是一個(gè)問(wèn)題。我們不能忽略云愿景中的移動(dòng),因?yàn)檫@將是用戶訪問(wèn)、利用和同云交互的一種主要的途徑。我們要為設(shè)備管理或者業(yè)務(wù)共存以及通用設(shè)備個(gè)人使用考慮這些問(wèn)題。
安全即服務(wù)是保護(hù)BYOD的最佳方式嗎?
Reavis:你會(huì)看到更多的安全功能轉(zhuǎn)移到云端。企業(yè)將會(huì)更加關(guān)注于下鎖設(shè)備,并尋求如何加密信息,為認(rèn)證和禁用設(shè)備遠(yuǎn)程使用。很多迅速移動(dòng)的威脅可以通過(guò)互聯(lián)網(wǎng)很好的解決。網(wǎng)絡(luò)提供了更高層級(jí)的安全,以及一種更加靈活的方式來(lái)支持企業(yè)采用新技術(shù)。唯一能夠使你保持云步伐的方式就是云服務(wù)。