云数据安全:利用第三方还是自己动手?
| 2013-06-25 10:02
进入公共云的门槛虽然很低,只需要一张信用卡就可以购买到服务,但是要安全地运行云中企业应用并不简单。组织需要了解该部门的安全责任分工以及云部署特有的安全需求。
接下来,一个合乎情理的问题是,你自己处理云数据安全还是聘请第三方?答案是:看情况。
专门从事降低云计算风险的顾问兼讲师Thomas Trappler谈到,对于内部部署应用程序以及新接触基础设施即服务(IaaS)的组织来说,“有一些关于如何使用这种服务的知识,对这些人来说是新知识” 。
云数据安全
云学习曲线
例如,公司普遍希望基于云的应用与本地系统集成。Trappler谈到:“有些东西可能会保留在内部,需要与云打交道。公司可能需要一些专门技术,来使云和内部系统能共同工作。”他补充说,但是企业是否有足够的资源来获取这些技能还是一个“问号”。
PricewaterhouseCoopers信息安全和风险保障的经理Nikita Reva表示认可。“技术学习曲线确实存在,并且最大的问题是缺乏云安全技能,”Reva说,“这个行业正在逐步形成新的认证和培训服务,因为世界正在向云迈进,并且没有几个人能真正理解云安全。”
这种情况限制了云的成功,他继续说到:“一些客户将不再使用云,因为他们不了解如何保护基础设施,并且他们不具备相关人员,他们也负担不起聘请顾问。他们的员工不能迅速地赶上节奏。”
IaaS提供商未必能使情况变好。每个提供商承担着不同级别的云数据安全责任,并且为客户提供不同的资源,使客户了解他们的职责。
例如,亚马逊提供给客户强大的文档和一个很好的基准。Reva说:“如果相对来说,客户具备一定技术能力,他们应该能够使用文档以及基于文献资料配置实例,但有一点让人束手无策,即有非常多的文献资料。与其他人相比,他们已经做得足够好,但是对于那些没有经验的人来说,数百页、数量巨大的文献资料,确实有一点让人束手无策。”与此同时,他补充说:“其他提供商提供的产品并没有这么一目了然。你需要更多的技术知识,做更多的探索工作。”
云代理的角色
Trappler说,对于能负担得起的组织,云代理或者云顾问“从技术的角度来看,有助于你安装并运行云服务”。
云代理提供许多不同的功能。“所有的代理都不一样,他们具有不同的能力,”推广最佳实践和提高云安全培训的组织—云安全联盟的执行主任Jim Reavis表示,云代理是“一个新兴领域,云代理是与时俱进的,但是对我来说,云代理只是中间件技术的一个组合,也是系统集成商业模式(集成为你提供你所需要的业务和技术解决方案)的演变。”
他说,云代理“提供抽象的技术层来帮助你简化大量虚拟机的管理,并且可能帮你做很多安全管理工作以及将不同的系统划分,确保他们使用的是共同的安全性配置文件。”
此外,作为“新一代的系统集成商,”云代理也可以管理客户合同,同时提供其他的业务及符合规定措施,Reavis表示:“一个大型的云提供商通常不会定制(服务水平协议)和诸如此类。云代理是一种中介,能够帮你实现定制的合同要求、财务要求、符合性要求。反过来,这些要求也可能管理更多的技术云代理”。
云代理或云顾问能够帮你保证(运行在公共云中的)企业应用的安全,但是首先你必须找出云代理或者云顾问。“这是个挑战,因为一些人认为【云代理】仅仅是一个技术块。你必须提出正确的问题,并且他们不会设立一个标牌,上面写着‘我是云代理’”,Reavis说,“那些说会帮你管理你的云关系,或者提供更多的技术解决方案,来帮你管理你的云基础设施的经销商或顾问通常都属于云代理。”