云计算的安全性能七宗“罪”
2013-04-07 17:03 来源:中国自动化学会专家咨询工作委员会
在微软、IBM等美国公司的鼓噪下,云计算成为被炒上了天的“高新技术”。实际上,云计算不过是应用模式的转变,远不是这些鼓吹者所描绘的玄乎。目前,信息安全工作人员曝出云计算在安全方面存在七宗罪,他们认为这七宗罪足以抵消云计算所带来的好处。
不少首席信息安全官认为,使用云方案以后就可以高枕无忧了;但如果他们知道云在程序运行中出现了多少错误后或许会变得夜不能寐。
用户登录的检查核对机制不完善
安全登录云的唯一方式就是通过企业身份管理系统。很多云服务允许企业的任何人不通过企业网站注册,就可创建自己云服务的用户名与密码,并能把云服务的授权证书与其私人邮箱地址连接。这种现象时有发生,但这并不意味着IT部门或者企业应该默许这种行为。“以这种方式开始提供的云服务,没有与企业IMS整合,这就使得企业面临策略违规、信息泄露的风险;而且,这些企业最终没有能力来保证云的安全性。”Axway的首席安全官说。
同样,一些公司快速部署了IaaS(基础设施即服务),这也是利用了自我服务能力来解决其他部门对IT部门缓慢与无应答的投诉。但这种方式阻碍了管理,因为其允许在没有安全保护的情况下直接登录云服务器。
信息服务集团新技术调查员、云专家Stanton Jones就此解释称:“如此一来,员工就可以看到那些他们不具备查看权限的数据,比如说在VM(虚拟机)中的遗留问题数据。这些问题数据永远不会被关闭。”
API使用方法被忽视
一家企业转移到云服务,用户需要一个API,这样就能以自己的方式来平衡公司所提供的服务。云所带来的内部服务与能力,将更贴近想登录这些服务的客户。基于API的整合方案就可以满足这些要求。
移动应用开发者使用API在公司内部与商业信息之上创建有价值的生态系统。“如果开发者将这种生态系统货币化,那带来的收益将会打破企业的价值链,所以你应该通过开发者门户建立一个收益分支。”Thielens说。 我们已经说过,API密钥,也就是可以使开发者登录API服务的密钥,已经可以与密码相抗衡了。想知道如果你忘记密码,将会发生什么吗?CIO使用云服务API,就需要一个完善的安保计划用以保护API密钥。
不能完全脱离云服务供应商的掌控
Thielens说,随着云服务的不断进化,出现了新供应商,解决方案也推陈出新,传统云服务保护网站,如亚马逊、Facebook等已经转型:在更小范围内提供最优标准与产品。“这对云来说是革命性的解决方案,对于预置基础设施来说也是。”
有关云的一切还处在不断进化中,现有最佳云解决方案在今后未必是最优选择。
外包风险与责任追究
企业可以将部分基础设施外包到云上,但是企业不能完全外包风险与承诺义务。企业都要求云供应商具有一定限度的透明性,这样企业才能掌握一些风险模式,并据此调整企业战略。所有这些需求都在告诉云供应商,自从某些云可以轻易登录并有管理风险以后,对企业而言,云可能就没有那么适用了。Thielens指出:“企业不会撇开云供应商,去接手所有风险。”
信息化部署以及安全性考虑不足就直接签署云解决方案
从现状看,企业很容易从不同供应商处签约获取云服务,从此进入云时代。而对云服务应用范围的大小,即使这些企业一点专业知识都不具备,也不存在任何问题。实际上,就和赚信用卡积分一样简单。 Prescient解决方案首席信息官、美国国家网络安全特别小组成员Jerry Irvine说:“这就意味着,企业认为可以缩短实施IT项目所需时间,并使云成为生产力。”
但是,这种做法会带来很多新的安全及容错率等方面的问题。在不牵涉IT的情况下实施公司解决方案,很可能出现现有系统、配置与应用不兼容的情况,那些对规范与需要遵守的要求不甚了解的员工很可能就会遇到问题。
Irvine解释道:“当这些云计算应用能够为企业提供某些特殊需求的快速解决方案时,风险与缺陷将使企业在系统失误、安全缺口等方面耗费大量资金。”因为这些特殊原因,所有启用的云方案都要符合企业风险构想、合同复审、规则审查以及内部政策审查。
“很多企业已经发现,尽管缺乏内部启用云计算的公司政策,但在企业内部,还是可以使用很多云服务。”信息安全论坛全球副总裁Steve Durbin说。Talbot-Hubbard认为:“如果没有任何来自IT、采购或者法律部门的员工参与到企业转移到云的行动中,那么企业将丧失对其相关数据、应用、服务及基础设施的控制。”
轻信云的安全性
企业一般都很关注云服务的功能,但是却不会提问。企业认为他们的云服务供应商同时服务很多其他客户,会有更强大的安全部门,更完全的安全政策、处理过程以及规程。一些云供应商将比较高级的安全设施外包给第三方。但是,这些第三方供应商所提供的安全服务很可能没有包含在合同内,而云供应商与客户之间有服务等级协议。
没有透彻理解成本
当云提供者展示其产品时,他们经常选择展示一些比较初级的产品来吸引那些更在意价格的潜在消费者。Irvine说:“不幸的是,在与服务供应商交手后,企业通常认为,那些附加服务也要执行惯有的IT任务。”安全成本和那些相关义务也会随之增加。企业在评估云服务成本时甚至基于一种不现实的空想,就好像是将应用推上云后,他们才需要确定内部IT资源的数量。Irvine指出,现在市场上有很多种云服务,内部所需要的资源数很可能完全没有改变。
事实上,我们很多使用云计算服务的客户,并没有减少其IT部门的人员数量。在所有情况下,企业将所有应用和系统外包到云上的可能性几乎微乎其微。即使企业将其很多系统转移到云上,但还是有大量工作需要企业内部基础设施和工作站工程师去处理。“其实,IT部门成本是受到云影响最小的一个部门。”Irvine说。 (朱岩)