某些人士認為云計算較為安全���,有些則特別強調(diào)新的安全挑戰(zhàn)。由于“云”的概念目前仍在雛形階段�����,因此到處充斥著許多似是而非的論點��。下面就來看看云計算的五大盲區(qū)...
某些人士認為云計算較為安全���,有些則特別強調(diào)新的安全挑戰(zhàn)。由于“云”的概念目前仍在雛形階段���,因此到處充斥著許多似是而非的論點�。下面就來看看云計算的五大盲區(qū):
盲區(qū)1基礎架構服務(Infrastructure-as-a-Service����,簡稱IaaS)供應商所提供的虛擬私人“云”就像企業(yè)內(nèi)部數(shù)據(jù)中心一樣安全
虛擬私人“云”是IaaS領域所衍生出來的新興概念,可讓企業(yè)透過VPN連線至“云”的資源��,IaaS廠商會提供一段企業(yè)專屬的IP范圍�。這種運算方式的問題在于您仍舊與其他企業(yè)共用硬件資源與交換網(wǎng)絡,彼此間僅藉由虛擬區(qū)域網(wǎng)絡(VLAN)隔離����。然而組態(tài)設定錯誤的情況時有所聞���。根據(jù)最近一份研究顯示,澳洲有31%的信息外泄事件是“第三方廠商如云計算或SaaS供應商的錯誤所造成”�。
盲區(qū)2您不需要一家以上的IaaS供應商
將所有雞蛋都放在同一個籃子,萬一籃子打翻了就很危險�,云計算也一樣。雖然采用單一IaaS供應商較容易管理��,但卻也形成單一故障點���。仰賴單一IaaS供應商的風險是,萬一廠商遭到分散式阻斷DDOS攻擊�,企業(yè)的運營就可能發(fā)生中斷,就像Bitbucket的例子�����。
另一個單一故障點(SPOF)的例子是Rackspace���,一輛卡車撞上了某個變電箱而導致Rackspace數(shù)據(jù)中心電力中斷��,業(yè)務因而停擺�����。由于意外在所難免����,因此,要防止單一故障點��,就要擁有一家以上的IaaS供應商���。
建立備份據(jù)點是達成災難復原的主要方法之一����,云計算的時代也一樣����。企業(yè)或許不需要一個熱于待命的失敗點,但卻應該規(guī)劃并測試如何在需要的時候迅速將運營切換至第二家供應商����。雖然像Amazon“可用性區(qū)間”這類的作法可降低上述風險,但并不能完全消除單一故障點的可能性�����。
盲區(qū)3私人“云”同樣也適用實體數(shù)據(jù)中心的安全方案
其思維邏輯是,數(shù)據(jù)中心原本的邊境防御就已成效良好��,而私人“云”也受到同樣的保護�����,所以應該沒問題���。只可惜���,情況通常并非如此。私人”云”有其新的挑戰(zhàn)�,這些挑戰(zhàn)是傳統(tǒng)靜態(tài)數(shù)據(jù)中心所沒有的。虛擬化與云計算加大了攻擊面����,共享儲存就是一個例子�����。
另外還有一些新的狀況�,例如系統(tǒng)管理員不小心用vMotion將某個服務器從安全區(qū)域移到DMZ。此外����,VLAN組態(tài)設定錯誤也可能導致信息未妥善隔離����。還有��,同一個vShield區(qū)域內(nèi)的VM之間不受監(jiān)控的信息流量呢?在一個混合式”云”環(huán)境中����,當一個應用程序移到”云”,其虛擬機器周圍卻沒有安全防護將會如何?仰賴IaaS廠商所提供的基本防火墻規(guī)則���,甚至連IDS/IPS也沒有�����,可能會讓某些企業(yè)感到不安���。[nextpage]
盲區(qū)4“云”服務供應商會負起安全的責任
雖然SaaS或PaaS服務供應商通常會在服務條款中提供安全保障,在IaaS領域卻不然��。
雖然IaaS廠商會采取一些安全措施�����,并且在文宣中強調(diào)其安全措施,但IaaS環(huán)境的安全性終究是企業(yè)與IaaS廠商應該共同負擔的責任���,而且�,最終的責任通常還是落在企業(yè)本身�����。IaaS供應商的服務條款中有關安全的章節(jié)應該會強調(diào)這一點�����。
不僅如此��,雖然供應商會負起安全的責任�����,但萬一發(fā)生信息外泄事件���,企業(yè)本身仍舊須承擔最終的責任。畢竟�����,那是您的信息。
盲區(qū)5我的“云”服務廠商有SAS70TypeII程序��,因此我的信息安全無虞
SAS70TypeII內(nèi)核的確是不錯的安全基礎��,也是確保廠商在檢查期間安全控管措施正常運作的一項工具����,但這并不等于安全性。而且可能給人一種安全感的假象�。內(nèi)核所看的是過去的狀況,雖然過去的績效對未來具指標性(至少在數(shù)據(jù)中心安全方面)���,但絕非未來的保證��。一旦公司發(fā)生大規(guī)?;虿活A期的人事變動����,就可能讓原本扎實完整的安全措施一夕之間瓦解。此外����,SAS70也無法防止心生不滿的員工對公司或客戶挾怨報復。
SAS70TypeII內(nèi)核無法檢查內(nèi)核范圍以外的項目�����。在內(nèi)核檢查表上的項目您或許嚴格控管,但漏洞卻可能在檢查范圍之外��。再者�,任何流程的內(nèi)核都無法涵蓋執(zhí)行流程的人。廠商的用人原則為何?SAS70TypeII內(nèi)核并不一定涵蓋用人原則���。凡人都可能犯錯�����,當然也絕非完美����。
SAS70審查并沒有一套標準作法��。這類內(nèi)核是內(nèi)核者與受內(nèi)核對象彼此共同設計出來���,目的在于測試特定業(yè)務流程的控管措施���。而控管措施可能無法包山包海���,所以�,在原先預定之外的項目,即使對業(yè)務服務很重要也不在測試范圍內(nèi)�。因此,在將關鍵業(yè)務流程交給任何服務供應商之前�,您應該對SAS70內(nèi)核有所存疑。而且�����,理想的內(nèi)核不應該只專注于信息安全�����,而是應該延伸至服務永續(xù)性�����、廠商管理��、備份復原��、人事制度等其他領域�����。
不論公共“云”或私人“云”在降低成本、提升企業(yè)靈活度方面都能提供優(yōu)異的企業(yè)價值��。不過��,建議您在挑選之前還是應該先認清其中的安全挑戰(zhàn)�。
免責聲明:本站所使用的字體和圖片文字等素材部分來源于互聯(lián)網(wǎng)共享平臺。如使用任何字體和圖片文字有冒犯其版權所有方的�,皆為無意。如您是字體廠商�����、圖片文字廠商等版權方����,且不允許本站使用您的字體和圖片文字等素材,請聯(lián)系我們����,本站核實后將立即刪除!任何版權方從未通知聯(lián)系本站管理者停止使用��,并索要賠償或上訴法院的�,均視為新型網(wǎng)絡碰瓷及敲詐勒索,將不予任何的法律和經(jīng)濟賠償!敬請諒解�����!
粵公網(wǎng)安備 44030402000264號