|
云计算安全:对服务提供商的信任最重要虽然云的应用和推广已经势在必行,但是从诞生开始,它的安全就一直为人们所诟病。当所有的计算行为和数据存储都散布在聚散无形虚无缥缈的云中的时候,人们将会普遍感到失控的恐慌,并毫无例外地产生云是否会破坏他们的隐私进而损害他们的权益的质疑。 现在很多人谈到云安全问题,会拿银行的例子去进行类比,到底是放在家里比较好,还是存在银行更安全。相信最初的时候,一些人也会不放心把钱存在银行里,觉得不如自己藏在家里某个地方踏实,但现在几乎所有人的钱都放在银行里,没有人把几百万或几亿的现金放在家里,说明银行已经逐步取得人们的信任,提供了一个强大的信用作保障。反过来说,数据与存款的不可复制不同,云用户的信息或数据可以被拷贝而不易被察觉,服务提供商的信誉与监管就显得更为重要了。 来自埃森哲的调查报告显示,59%的中国受访者表示“十分担心”云中数据的安全性、私密性和机密性,高于美国的50%以及中国以外其他国家的42%。相比其他国家,更高比例的中国受访者认为其所在企业和机构拥有不得外泄的敏感数据。中国高管尤其担心数据遭黑客盗窃,或是意外泄露给同一云供应商的其他用户或本企业的非授权员工。中国企业反对将敏感资料透露给其他国家,更愿意将资料委托给国内云服务供应商。 提到服务提供商,应该说现在最成功的云计算案例当属亚马逊,被全世界大部分的供应商作为标准,但是服务提供商“没有责任”,这一点在亚马逊的合约上讲的非常清楚,“你的资料放在我的云中,出事和我一点关系也没有”。 CSA(云安全联盟)是在2009年的RSA大会上宣布成立的,企业成员达到33个,自成立后迅速获得了业界的广泛认可。云安全联盟成立的目的就是在云计算环境下提供最佳的安全方案。 CSA(Cloud Security Alliance,http://www.cloudsecurityalliance.org/)在其发布的“Security Guidance for Critical Areas of Focus in Cloud Computing”中指出:在安全控制方面,云与其它IT环境相比并没有很大的不同;但是,在服务模型、运营模型以及用于提供服务的相关技术等方面,云可能会导致与以往不同的风险。 业界比较认可的对云计算的分类就是IaaS(Infrastructure as a Service)、PaaS(Platform as a Service)和SaaS(Software as a Service)。 - SaaS:为用户提供在云架构上运行的应用的服务。用户可以从多种多样的终端设备经由web浏览器对应用进行访问,而不必知道管理或控制底层的云架构(包括网络、服务器、操作系统、存储,甚至包括个别的应用能力)。 - PaaS:为用户提供将其应用部署在云架构上的服务,而创建这些应用的编程语言和工具必须得到服务提供商的支持。 - IaaS:为用户提供处理、存储、网络以及其它基础计算资源的服务。 从这三种云服务模型的定义中,不难看出尽管用户已经将他们的计算和存储都托付给了云,但是在享受服务的过程中他们并不可以做甩手掌柜,特别是在安全策略方面,更是绝对不能寄希望于云提供商去解决所有的问题。三种云服务模型的安全防护在方法和责任上都有所不同:SaaS为云提供商提出了最高的安全要求,使得他们需要建立从顶层应用到底层硬件的整体防护体系以确保服务的安全,从而承担了绝大部分安全责任,但是这也限制了用户的自由发挥;相反的,IaaS给予了用户足够的自由度构建自己所需的计算环境进而开发或部署所需的应用,但是它也要求用户必须自行管理计算系统层次架构中除底层硬件以外的所有层次,而提供商只需考虑硬件层的安全问题;PaaS位于其它两种服务模型之间,既需要服务提供商提供基本的安全防护,又需要用户针对实际需求进行有差异的安全配置,才能构成完备的防护体系,但这也使得提供商和用户之间的责任边界变得模糊。 其实关于安全的问题,不仅仅是技术层面的问题,如果企业真的决定把数据放在云上,还需要政府相当部门的支持,并有相关法律法规的规范和标准的制定。这样,云计算才能在中国得到广泛应用。 7月23号在上海举行的2010中国管理信息化年会,专门设立了“云安全下的企业信息安全管理“为主题的分论坛,届时将有专家和厂商关于云安全和企业信息化的精彩观点呈现。
责编:杨雪姣
微信扫一扫实时了解行业动态
微信扫一扫分享本文给好友
|
最新专题
推荐圈子
|
|