亚马逊欲将安全应用移至云

亚马逊Web服务(AWS)欲通过托管入侵防护应用以及更广泛的加密功能来扩充其安全产品，并增加用户从云获得的保护级别。

对于亚马逊来说，证明其云计算平台能够提供与传统和软件相同级别的安全性能是一个持续的挑战。

AWS的首席信息安全官Stephen Schmidt称，公司很难通过云满足其现有的安全要求的说法是一个普遍的误解。

“举例来说，这些公司关注访问控制、网络周边设备控制以及构建与其特定法规遵从或执行要求相一致的网络。我们发现，多数情况下，他们不仅可以在云中做他们正在做的，还可以有更精细的控制”，Shmidt称。

Shmmidt称，还有一个关于云计算资源分离的误解。

“一些人的学术论文称，理论上，管理程序中有边信道是可能的。通过这些边信道能够在虚拟机间传递信息。然而这些学术论文是在实验环境中得出的结论，而不是现实世界。”，Shmidt称。

Shmidt称，虚拟私有云服务允许用户配置一部分逻辑上隔离的亚马逊云因此完全否定了这种威胁。

据Shmidt称，目前，亚马逊公司与合作伙伴联手将安全设备移至云端，包括入侵检测和防御的虚拟设备。该举措对于那些担心占用大量带宽的拒绝服务攻击的公司来说是一个福音。

Shmidt称，“显然，单个公司不可能有我们这样的网络连通性。此外，他们不需具备我们所有的网络专业知识以减轻大规模攻击。”

同样，亚马逊将扩充保护信息的加密方式。

Shmidt表明，“在短期内，我们将对更小更精细的数据块上启用加密”。

最近，亚马逊已经为关系型数据库服务增加Oracle 透明数据加密功能，并引进CloudHSM以提高其加密功能。CloudHSM是用一个单独的设备来保护加密密钥的加密服务。

“你可以看到这样做的目的是，为客户提供创建加密基础设施的工具。这些设施使得他们只让他们希望的人访问数据，无论这些人来自他们的组织还是我们的。”，Shmidt称。

亚马逊关于安全性能的举措的关键部分是已取得各种认证。

“对于某些行业，安全认证是绝对必须具备的。例如，由于信用卡交易量，我们必须遵从PCI才能将Amazon.com移至AWS上。对于美国政府机构迁入AWS，我们必须符合美国政府的规则与制度，同样，对于英国政府，我们必须符合他们的规则与制度。”，Shmidt称。

据Shmidt称，对于那些法规遵从不是必须的组织，包括ISO27001在组织，认证是他们了解亚马逊如何实现安全性的一种方式。

Amazon表明，他们正在争取联邦风险和授权管理计划(FedRAMP)的论证。该计划旨在规范对云服务的安全性评估、授权以及连续监测。

“这是一个不断推进的过程。美国政府还没完全决定要拿FedRAMP做什么，他们不断变化评价标准，但我们希望能够很快确定下来。因为我们非常期待获得该论证标准。”，Shmidt称。

Shmdit称，政府组织和机构可以依靠FedRAMP而不是自己做评估，从而节省成本以及统一评估。虽然现在的许多组织比一般组织能够更好地执行复审，但FedRAMP计划能够消除这些差异并且提高整个政府空间的安全准入标准。