很多人總是認為云環境不太安全,而將應用程序和數據放在他們自己的數據中心才更安全。但真的是這樣嗎?早在2010年5月,CA和Ponemon研究所對900多名IT專業人士進行了調查,他們發現IT從業者認為在云環境安全風險更加難以控制,包括對數據資源物理位置的保護和限制特權用戶訪問敏感數據。該調查發現,IT人員承認他們不太清楚哪些計算資源被部署在云環境中,主要是因為這些都是由最終用戶從非IT視角作出的決定。約有一半的受訪者承認很多云資源在部署之前并沒有進行安全評估。
也許所有對云環境的擔憂源自于不安全的Web應用程序,而不是云本身。很多頂級web安全漏洞(如跨站腳本和SQL注入攻擊)在web服務器剛被發明的時候就出現了,出于某些原因,它們仍然在很多企業系統中“作威作福”。更加諷刺的是,2010年Aberdeen集團的報告顯示,基于云的web安全工具比企業內部安全工具出現更少惡意事件。
選擇云服務的用戶應該要求供應商回答以下四個問題:
1、數據存儲在云基礎設施時,數據是如何加密的,包括使用中數據和靜態數據?
2、是否部署了細粒度訪問控制?
3、是否有多余的云基礎設施?
4、Web應用程序保護到位嗎?
數據加密
數據存儲在云端時是如何加密的(包括使用中數據和靜態數據)?
大多數云供應商會自動加密傳輸中的數據(通過要求web瀏覽器進行SSL連接),但是這些數據是否被保存在加密容器中則是另一回事。最好的辦法就是創建一個混合公共/私有云,這樣所有云資源都可以位于企業防火墻后面,就像在自己數據中心一樣受到保護。
大多數云供應商提供某種虛擬專用網(VPN)保護,這樣信息在傳輸過程中將被加密,并且能夠通過普通網絡共享來訪問。例如,Verizon公司的計算作為服務提供了思科的AnyConnect VPN客戶端(從IE瀏覽器啟動)。
其他云供應商提供虛擬防火墻,這個防火墻連接到企業數據中心內部的防火墻,或者與傳統思科VPN網關連接。
Amazon網絡服務之一虛擬私有云允許你連接任何Amazon云資源到你的企業位置,你可以橋接你的Amazon和企業網絡,分配私有IP地址范圍,在連接到互聯網之前,從云環境運行的應用程序路由流量到內部安全設備。
細粒度的訪問控制
細粒度訪問控制是否到位?
安全政策和訪問控制是云供應商仍然在努力追趕物理計算世界的領域。在很多情況下,訪問是“全有”或者“全無”的命題,這意味著一旦用戶通過云環境身份驗證,他們就可以自由地做很多無意的破壞,例如啟動或者停止虛擬服務器,或者在云環境制造其他混亂。
在這方面,一些云供應商要優于其他供應商,并允許特定環境內創建虛擬網絡或者為個人客戶分離訪問權。舉例來說,美國高爾夫協會想要創建一些新的web應用程序,他們選擇了較小的云供應商來獲得這種粒度訪問,因為很多不同的應用程序組要使用云環境。該協會的信息技術主管Jessica Carroll表示,“我們想要更多的個人支持,并希望我們的IT人員與云供應商靠得更近。我們使用VPN來連接到云網絡,但是有兩個不同的開發團隊在云服務的不同服務器上工作,我們進行了設置,讓每個團隊智能看到自己的資源,這樣開發人員可以在不影響其他設備的情況下重新啟動虛擬服務器或者進行其他改變。”
Vmware近日向其vSphere產品系列添加了細粒度訪問。其vShield Zones產品包括一個基于管理程序的防火墻來執行每個虛擬服務器的網絡和端口連接,并在虛擬環境內設置安全政策和防火墻規則。Verizon的計算作為服務的用戶可以根據每個虛擬服務器的端口和協議來設置防火墻規則,正如下圖所示。
還有很多第三方安全工具,例如Hytrust的Vmware設備,允許更細粒度的訪問控制,哪些用戶對特定虛擬服務器有何種訪問權限。
相信在不久的將來,云計算供應商將提供更好的粒度訪問控制服務。
冗余基礎設施
是否有多余的云基礎設施?
冗余提供的安全性在于,不管你的云供應商的基礎設施發生了什么事情,你的應用程序仍然安然無恙。
大多數云供應商通過運行獨立的其他位置的數據中心來為用戶提供自動數據保護,即使供應商的數據中心發生故障,你的基礎設施仍然將繼續運作。舉例來說,Amazon公司在北美、亞洲和歐洲都有幾個不同的服務器“區域”,用戶可以指定其虛擬服務器的位置并設定一個保護環境,這樣出現任何故障,都能安然無恙。對于美國高爾夫協會,Carroll也考慮了這種需要,他們的供應商在另一個位置提供了一個熱點,防止任何停機事故。“我們為這種冗余支付了更多資金,但是這讓我們感覺很心安。”
應用程序保護
Web應用程序保護得如何?
所有云部署最不安全的方面在于其web應用程序及其與其他云基礎設施連接的方式。目前的挑戰在于虛擬化企業內部服務器提供的保護性設備,例如負載均衡器、入侵防御設備和防火墻。主要云供應商都開始將這些工具添加到他們的服務列表中,這樣IT開發人員可以將他們的應用程序遷移到云環境,并且仍然保持與企業內部運行的程序一樣的安全水平。
例如,Amazon的云服務器不能發送偽造的網絡流量,不管它們運行的是何種操作系統。Amazon防火墻只允許使用其自身源IP或者MAC網絡地址的流量,這是一個很好的保護。
美國密蘇里州云托管服務供應商Savvis公司首席技術官Bryan Doerr談論了自動化在云安全發揮的重要作用。“我們可以快速自動地提供一些東西,但是我們無法做到的是快速作出決定。向這個應用程序增加功能需要多久?發現故障和作出響應要多久?既然我們已經虛擬化所有基礎設施,并且自動化了一些程序,我們現在需要將決策也進行自動化。虛擬化讓我們不再需要手動修補電纜和設置設備機架。我們必須提前作出這些決定,按照政策來定義,然后實施到供應系統。這里的技巧在于弄清楚如何幫助客戶進行他們的工作。”
最后,對供應商進行實地考察,“我們對云供應商進行了實地考察,看到了他們的UPS的樣子,以及他們是如何管理他們的數據中心,”Jessica表示,“這讓我們感覺更加踏實,選擇他們作為我們的供應商。”
原文鏈接:http://safe.it168.com/a2011/1129/1281/000001281107_all.shtml