Gartner专家：请勿相信云供应商能保护您的企业资产

一个有孩子的家庭买了一辆新车，却没有在 汽车制造商那里买汽车座椅：而去找其他设备商来处理这个家庭最敏感的资产。Gartner的副总裁和安全分析师 John Pescatore 说， 云安全可以用类似的方式来考虑：用户不应该依赖云服务供应商提供的安全功能来保护他们最关键的数据。

需要保护的敏感信息--顾客数据、关键任务应用、产品等级信息--在很多情况下，要想被完全保护，都需要自身的安全控制。“当你使用基于云的服务时，有些事情你可以信任云供应商，但是对于关键商业数据和相关的控制信息，云基础设施就变得不是那么充分了，”Pescatore 在一个网络研讨会上这样说。

安全问题仍然是公司在寻求部署云战略时一个最令人关心的问题，但Pescatore说有很多方法都可以减轻忧虑。其中的一个关键就是设立专门为保护云应用、数据或工作负载而设计的保护条款。一个典型的例子就是信用卡信息。支付卡行业（PCI）认证要求每一位电子存储的顾客信用卡数据都被加密。一些云服务提供商会在基于云的存储服务上提供加密服务。然而，有很多专门为云部署开发的第三方应用程序，可以提供加密服务、分布式拒绝服务（DDoS）防护、访问控制措施。顾客可以通过购买第三方应用程序来实现上述功能，其中很多都是在云格式上交付的。

市场上有很多各种功能的云安全产品，比如来自Cisco 公司的Zscaler、Websense或者ScanSafe 都是“网关”产品。网关位于顾客和云供应商之间，监测着要存储到云的数据，同时确保恶意的数据或应用程序不会渗入到顾客系统。如果使用云来办一个网站，就会有网站保护服务，比如Imperva,、CloudFlare ，甚至是来自 Akamai 公司的这方面的一些服务。

总之，Pescatore说云安全开始于一个基本水平。很多事业单位开始了与私有云和内部云的云访问--这是一个开始安全控制的好地方。Pescatore建议“首先在私有云上取得安全控制，然后扩展到混合云和公共云”。“在系统中得到可视信息，变更控制和漏洞”情况下，在合适的位置设置保护虚拟环境不受外来攻击是十分必要的，另外，保护业务流程的框架和新账户、域和虚拟机的配置也至关重要。

私有云的迁移通常会纳入一些公共云服务。公司多次将非关键任务和应用，比如测试、开发或者破裂能力，扩展到公共云服务上。但不是所有的事情都必须用最高保护级别进行保护。他说，参考标记化的过程，“保护敏感信息，只把少量敏感数据以本地形式放到云上。”

Pescatore说云安全的关键应该在保护云的进程上。创建云安全策略，然后确保它在整个云部署过程中都得以实施，并坚持实施下去。他说当有不一致的策略或者没有实施安全控制时就会形成漏洞。“我们确实还没有看到试图渗入云基础设施或者 虚拟化层的主要的新攻击，”他说。“当今的现实是，攻击使用云服务的公司（对于黑客来说）是一件很容易的事。”

最好是顾客有大量的选择。云服务供应商对于安全水平要求低的客户，通常会在基础设施或者服务端的 软件上，提供安全功能。比如：亚马逊网络服务是FISMA兼容，而另一个云服务供应商FireHost是PCI兼容。Pescatore说，至少顾客应该寻找ISO27001、SOC2或者SOC3证书认证的供应商。除了这些，特别对于敏感信息，顾客还有大量的第三方安全软件可以选择。