|
在微軟����、IBM等美國(guó)公司的鼓噪下��,云計(jì)算成為被炒上了天的“高新技術(shù)”�。實(shí)際上,云計(jì)算不過是應(yīng)用模式的轉(zhuǎn)變�����,遠(yuǎn)不是這些鼓吹者所描繪的玄乎�����。目前,信息安全工作人員曝出云計(jì)算在安全方面存在七宗罪���,他們認(rèn)為這七宗罪足以抵消云計(jì)算所帶來的好處���。
不少首席信息安全官認(rèn)為,使用云方案以后就可以高枕無憂了�����;但如果他們知道云在程序運(yùn)行中出現(xiàn)了多少錯(cuò)誤后或許會(huì)變得夜不能寐�。
用戶登錄的檢查核對(duì)機(jī)制不完善
安全登錄云的唯一方式就是通過企業(yè)身份管理系統(tǒng)。很多云服務(wù)允許企業(yè)的任何人不通過企業(yè)網(wǎng)站注冊(cè)����,就可創(chuàng)建自己云服務(wù)的用戶名與密碼,并能把云服務(wù)的授權(quán)證書與其私人郵箱地址連接����。這種現(xiàn)象時(shí)有發(fā)生,但這并不意味著IT部門或者企業(yè)應(yīng)該默許這種行為�����。“以這種方式開始提供的云服務(wù),沒有與企業(yè)IMS整合�,這就使得企業(yè)面臨策略違規(guī)、信息泄露的風(fēng)險(xiǎn)�����;而且�,這些企業(yè)最終沒有能力來保證云的安全性。”Axway的首席安全官說��。
同樣����,一些公司快速部署了IaaS(基礎(chǔ)設(shè)施即服務(wù))�����,這也是利用了自我服務(wù)能力來解決其他部門對(duì)IT部門緩慢與無應(yīng)答的投訴���。但這種方式阻礙了管理����,因?yàn)槠湓试S在沒有安全保護(hù)的情況下直接登錄云服務(wù)器���。
信息服務(wù)集團(tuán)新技術(shù)調(diào)查員�����、云專家Stanton Jones就此解釋稱:“如此一來��,員工就可以看到那些他們不具備查看權(quán)限的數(shù)據(jù)�,比如說在VM(虛擬機(jī))中的遺留問題數(shù)據(jù)。這些問題數(shù)據(jù)永遠(yuǎn)不會(huì)被關(guān)閉�����。”
API使用方法被忽視
一家企業(yè)轉(zhuǎn)移到云服務(wù)��,用戶需要一個(gè)API��,這樣就能以自己的方式來平衡公司所提供的服務(wù)�。云所帶來的內(nèi)部服務(wù)與能力,將更貼近想登錄這些服務(wù)的客戶�����;贏PI的整合方案就可以滿足這些要求�����。
移動(dòng)應(yīng)用開發(fā)者使用API在公司內(nèi)部與商業(yè)信息之上創(chuàng)建有價(jià)值的生態(tài)系統(tǒng)�����。“如果開發(fā)者將這種生態(tài)系統(tǒng)貨幣化����,那帶來的收益將會(huì)打破企業(yè)的價(jià)值鏈,所以你應(yīng)該通過開發(fā)者門戶建立一個(gè)收益分支�����。”Thielens說���。 我們已經(jīng)說過,API密鑰��,也就是可以使開發(fā)者登錄API服務(wù)的密鑰�,已經(jīng)可以與密碼相抗衡了。想知道如果你忘記密碼���,將會(huì)發(fā)生什么嗎����?CIO使用云服務(wù)API,就需要一個(gè)完善的安保計(jì)劃用以保護(hù)API密鑰����。
不能完全脫離云服務(wù)供應(yīng)商的掌控
Thielens說,隨著云服務(wù)的不斷進(jìn)化���,出現(xiàn)了新供應(yīng)商����,解決方案也推陳出新����,傳統(tǒng)云服務(wù)保護(hù)網(wǎng)站,如亞馬遜����、Facebook等已經(jīng)轉(zhuǎn)型:在更小范圍內(nèi)提供最優(yōu)標(biāo)準(zhǔn)與產(chǎn)品。“這對(duì)云來說是革命性的解決方案��,對(duì)于預(yù)置基礎(chǔ)設(shè)施來說也是��。”
有關(guān)云的一切還處在不斷進(jìn)化中�,現(xiàn)有最佳云解決方案在今后未必是最優(yōu)選擇。
外包風(fēng)險(xiǎn)與責(zé)任追究
企業(yè)可以將部分基礎(chǔ)設(shè)施外包到云上,但是企業(yè)不能完全外包風(fēng)險(xiǎn)與承諾義務(wù)����。企業(yè)都要求云供應(yīng)商具有一定限度的透明性,這樣企業(yè)才能掌握一些風(fēng)險(xiǎn)模式���,并據(jù)此調(diào)整企業(yè)戰(zhàn)略�����。所有這些需求都在告訴云供應(yīng)商�����,自從某些云可以輕易登錄并有管理風(fēng)險(xiǎn)以后�����,對(duì)企業(yè)而言���,云可能就沒有那么適用了�。Thielens指出:“企業(yè)不會(huì)撇開云供應(yīng)商,去接手所有風(fēng)險(xiǎn)�。”
信息化部署以及安全性考慮不足就直接簽署云解決方案
從現(xiàn)狀看,企業(yè)很容易從不同供應(yīng)商處簽約獲取云服務(wù),從此進(jìn)入云時(shí)代��。而對(duì)云服務(wù)應(yīng)用范圍的大小��,即使這些企業(yè)一點(diǎn)專業(yè)知識(shí)都不具備�����,也不存在任何問題�����。實(shí)際上�,就和賺信用卡積分一樣簡(jiǎn)單。 Prescient解決方案首席信息官����、美國(guó)國(guó)家網(wǎng)絡(luò)安全特別小組成員Jerry Irvine說:“這就意味著,企業(yè)認(rèn)為可以縮短實(shí)施IT項(xiàng)目所需時(shí)間���,并使云成為生產(chǎn)力�。”
但是�����,這種做法會(huì)帶來很多新的安全及容錯(cuò)率等方面的問題。在不牽涉IT的情況下實(shí)施公司解決方案��,很可能出現(xiàn)現(xiàn)有系統(tǒng)�����、配置與應(yīng)用不兼容的情況��,那些對(duì)規(guī)范與需要遵守的要求不甚了解的員工很可能就會(huì)遇到問題��。
Irvine解釋道:“當(dāng)這些云計(jì)算應(yīng)用能夠?yàn)槠髽I(yè)提供某些特殊需求的快速解決方案時(shí)�,風(fēng)險(xiǎn)與缺陷將使企業(yè)在系統(tǒng)失誤、安全缺口等方面耗費(fèi)大量資金����。”因?yàn)檫@些特殊原因,所有啟用的云方案都要符合企業(yè)風(fēng)險(xiǎn)構(gòu)想�、合同復(fù)審、規(guī)則審查以及內(nèi)部政策審查�。
“很多企業(yè)已經(jīng)發(fā)現(xiàn),盡管缺乏內(nèi)部啟用云計(jì)算的公司政策�,但在企業(yè)內(nèi)部,還是可以使用很多云服務(wù)��。”信息安全論壇全球副總裁Steve Durbin說�。Talbot-Hubbard認(rèn)為:“如果沒有任何來自IT、采購(gòu)或者法律部門的員工參與到企業(yè)轉(zhuǎn)移到云的行動(dòng)中����,那么企業(yè)將喪失對(duì)其相關(guān)數(shù)據(jù)、應(yīng)用���、服務(wù)及基礎(chǔ)設(shè)施的控制���。”
輕信云的安全性
企業(yè)一般都很關(guān)注云服務(wù)的功能,但是卻不會(huì)提問���。企業(yè)認(rèn)為他們的云服務(wù)供應(yīng)商同時(shí)服務(wù)很多其他客戶���,會(huì)有更強(qiáng)大的安全部門,更完全的安全政策����、處理過程以及規(guī)程。一些云供應(yīng)商將比較高級(jí)的安全設(shè)施外包給第三方��。但是��,這些第三方供應(yīng)商所提供的安全服務(wù)很可能沒有包含在合同內(nèi)�����,而云供應(yīng)商與客戶之間有服務(wù)等級(jí)協(xié)議。
沒有透徹理解成本
當(dāng)云提供者展示其產(chǎn)品時(shí)���,他們經(jīng)常選擇展示一些比較初級(jí)的產(chǎn)品來吸引那些更在意價(jià)格的潛在消費(fèi)者�����。Irvine說:“不幸的是��,在與服務(wù)供應(yīng)商交手后���,企業(yè)通常認(rèn)為,那些附加服務(wù)也要執(zhí)行慣有的IT任務(wù)����。”安全成本和那些相關(guān)義務(wù)也會(huì)隨之增加。企業(yè)在評(píng)估云服務(wù)成本時(shí)甚至基于一種不現(xiàn)實(shí)的空想�,就好像是將應(yīng)用推上云后,他們才需要確定內(nèi)部IT資源的數(shù)量����。Irvine指出,現(xiàn)在市場(chǎng)上有很多種云服務(wù)�����,內(nèi)部所需要的資源數(shù)很可能完全沒有改變。
事實(shí)上����,我們很多使用云計(jì)算服務(wù)的客戶����,并沒有減少其IT部門的人員數(shù)量。在所有情況下����,企業(yè)將所有應(yīng)用和系統(tǒng)外包到云上的可能性幾乎微乎其微。即使企業(yè)將其很多系統(tǒng)轉(zhuǎn)移到云上��,但還是有大量工作需要企業(yè)內(nèi)部基礎(chǔ)設(shè)施和工作站工程師去處理�。“其實(shí),IT部門成本是受到云影響最小的一個(gè)部門�����。”Irvine說�����。 (朱巖)
|
