保證云計算安全需落實幾大方面 |
發(fā)布時間: 2012/8/7 20:18:29 |
和云計算相關的安全問題要么在最終用戶方,要么在云計算服務提供方。云計算服務的提供者必須確保基礎架構(gòu)的安全,這些包括數(shù)據(jù)中心的物理安全、虛擬硬件平臺的安全,如果提供應用程序服務,還需要保障應用程序的安全,在運行于這些云系統(tǒng)服務之上的客戶的數(shù)據(jù)安全保護方面,當然也會有,并且應該有一定的安全措施。 在云計算服務的客戶方,要確保運云提供商已經(jīng)實施了適當?shù)陌踩刂拼胧,以便能更好保障應用程序和?shù)據(jù)的安全,由于虛擬化的原因,客戶方不需要接觸到公有云的數(shù)據(jù)中心和各類硬件設備,所以他們會擔心云廠商的硬件和操作系統(tǒng)的安全問題,此外還會擔心虛擬化軟件系統(tǒng)的安全、以及云服務商的安全能力問題。 總體來說,云計算安全會落到幾個要點:1.合約,2.隱私及安全,3.法律遵循。 在合約層面,云計算最終用戶會和服務商探討雙方的權利和職責、產(chǎn)權歸屬以及服務中止等問題。需要明確發(fā)生安全問題時雙方各需承擔的責任,不再續(xù)約合同的時候如何交還或遷移客戶的數(shù)據(jù)及應用程序等等,國內(nèi)多數(shù)客戶對IT服務的概念接受度還不夠,相關法律不夠健全,法務人員也缺乏這方面的經(jīng)驗,所以在合約層面想達成一致相對較難。 在隱私及安全層面,最終用戶必須有自己可控的帳戶管理系統(tǒng)來訪問云計算及相關的信息資源,當然云服務商要確保經(jīng)過身份驗證的授權用戶可以訪問到云系統(tǒng)服務,包括應用程序和數(shù)據(jù),在應用程序的安全方面,如果云服務廠商只提供計算平臺即服務,則用戶自己需負責應用程序的安全,如果云計算廠商提供了軟件即服務,那必須保證基于云計算的軟件系統(tǒng)的安全,舉例講,提供基于云計算的存儲或數(shù)據(jù)庫服務的,需保障數(shù)據(jù)存儲軟硬件平臺的安全。云計算廠商要提供用戶管理和針對數(shù)據(jù)安全的保護,不僅需要非常龐大的應用系統(tǒng)開發(fā)和運維力量,更需要及早將安全控管功能嵌入到云服務平臺和應用系統(tǒng)之中。 在法規(guī)遵循方面,國內(nèi)針對云計算安全的法規(guī)尚未成型,但會參考服務外包相關的規(guī)定,通常涉密行業(yè)受到嚴格監(jiān)管,如果要外包或使用云計算,相關的云計算服務也需受到同樣的監(jiān)管要求,而且這些用戶還需得到監(jiān)管機構(gòu)的審批,這些規(guī)定無疑會成為公有云計算在國內(nèi)重點行業(yè)普及的障礙。另外,法規(guī)對審計方面的要求也非常高,但是目前對云計算相關的安全審計標準、指導和措施都不夠成熟,另外云計算在建設初期往往只會關注功能的實現(xiàn)上,而忽略日志和記錄的維護,這也需要引起重視。 簡單總結(jié)一下,大型企業(yè)級用戶使用公有云計算的路子還很長,一方面是安全問題難以解決,另一方面,即便是使用私有云,大量數(shù)據(jù)和應用的遷移也會耗費多年的時間。而國內(nèi)多地政府主導的公有云計算目前多側(cè)重于計算能力和平臺即服務上,往往是政績項目,在應用和安全方面明顯乏力;由互聯(lián)網(wǎng)大腕投資的云計算也多側(cè)重于網(wǎng)站建設及電子商務相關領域,顯然滿足不了大型組織的復雜企業(yè)應用要求,最終注定公有云計算服務只能停留在較低層面的計算平臺、空間租用或簡單的大眾化應用,也只能吸引來自非涉密行業(yè)、個人、家庭及中小企業(yè)買家的關注。 要解決上述云計算普及的最大障礙,關鍵是加強云計算服務商和潛在大客戶的安全意識教育,讓賣家了解如何提供安全的云計算服務,如何做好服務,讓買家了解如何挑選安全的云計算,如何管理外包服務,只有雙方都清楚了這些,才能可能進行下一步的溝通,才有合作的可能。 不能渴求立法和監(jiān)管機構(gòu)在產(chǎn)業(yè)尚未成型時便做出可操作性的規(guī)范或指南,向云計算的變革過程必定要經(jīng)歷一段動蕩期,能獲得大量客戶并保留住這些客戶的云計算廠家,一定是那些能證明自己的安全能力可以保護客戶的應用程序和數(shù)據(jù)安全的,而要達到這一點,唯有從全體員工的信息安全意識教育抓起。 本文出自:億恩科技【mszdt.com】 |