公共云安全:4个误区和现实
当新兴科技出现时,总是会有一些炒作,将会出现各种各样的术语、误解和神话。然而经验丰富的IT领导者对此有所了解。云计算在其炒作周期中有一个很好的运行过程,IT方面没有什么重大转变是一个主要原因。
当然,云计算现在已经历了过度炒作期,并且成为市场主流。但这并不意味着云计算的发展已经成熟,尤其是当涉及到公共云安全性时。
现在是重新澄清关于公共云安全的一些重大误解的时候了,其中一些涉及私有云或混合云环境,更不用说IT安全。
一些云计算安全专家将这些误区和神话改写为所对应的现实。以下是他们的建议:
误区1:公共云本质上是不安全的
这个是人们需要纠正的一个想法,这是云计算发展历史所经历的一个阶段。公共云与传统数据中心有不同的考虑因素吗?是的。这是否意味着公共云自动降低安全性?并不是。
瞻博网络全球安全策略总监Laurence Pitt表示:“当公共云是新生事物的时候,有人担心这项技术尚未得到证实的安全性,但事实已经不是如此。云计算技术始于20世纪90年代,这意味着云计算提供商有着多年的数据和应用访问经验,可以确保权利管理、强有力的治理和系统监控。”
当然,并不是所有的提供商都是一样的。Pitt指出公共云本身就是一个巨大的安全威胁。
现实1:公共云安全通常比内部部署数据中心的安全性更好
事实上,对于一些企业来说,利用一些云计算提供商的规模和实力可能实际上是更加高效的整体安全战略的一部分,特别是如果企业受到预算的限制或者只是像很多IT领导者一样,很难找到具备相应用安全技能的工作人员。
正如Red Hat公司技术布道者Gordon Haff最近指出的那样,企业可能过于担心公共云提供商的安全流程。“公共云的本质是云计算提供商使用专业人员、自动化流程和纪律来处理安全问题。”他表示。
误区2:不了解“公共云”的含义
Sumo Logic公司的首席安全官George Gerchow表示,关于公共云的误解的这个话题太广泛了。“这个问题需要进一步细分,以区分单一租户与多租户,还是公共云托管服务。”Gerchow说。
事实上,人们倾向于整合大量的东西,例如从软件到基础设施到开发平台,基本上是人们都可以附加的无处不在的“as-a-Service”(即服务),而这些都包含在一个巨大的“公共云”中。
对于一家公司而言,“公共云”可能意味着跨多个供应商的多个基础设施与私有云和/或本地部署基础设施相集成的环境,并作为混合云组合的一部分。而对于另一家公司而言,“公共云”可能只是意味着他们使用Google Apps或Office 365.
这导致了公共云安全的泛化,而这往往是偏离目标的。
例如,Gerchow在深入研究更加具体的公共云类别时看到了人们一个重要的误解。他说,“单租户云部署比多租户更安全是一个巨大的误解。”
现实2:公共云类型及其安全考虑因素可能会有很大差异
Gerchow的观点非常重要:将公共云安全视为一个同质化问题是错误的。从安全的角度来看,将所有公共云环境视为同一个环境也是错误的。作为公共云战略的一部分,企业必须区分特定类型的云环境,以及在那里处理和存储的数据等因素。而不同的组织对安全性、合规性、治理、SLA等方面有不同的需求和关注。因此,企业需要更加了解这些需求。
此外,如果将“公共云”想象成一些即将被黑客攻破的大型环境,那么将错失云计算所带来的机会。而这是一个误导。
“公共云提供商花费过多的资源来确保安全性最初架构的核心部分,并保持其网络和服务的稳固性。”CYBRIC 公司首席技术官兼联合创始人Mike Kail说。
同样,IT领导者必须了解他们正在使用的环境。企业应该深入挖掘自己的公共云提供商的服务,就像建设和运营自已的数据中心一样努力(而在数据中心,企业如果没有特别关注的问题,那么这可能意味着其整个安全配置文件需要审计)。
正如SAS公司的首席信息安全官Brian Wilson所说的那样,企业在云计算安全性(尤其是公共云)方面,需要深入了解其云计算提供商的能力以及这些能力如何满足自己的特定需求(可能需要多云策略才能满足企业的各种需求)。
误区3:云计算安全太复杂,无法维护
这是人们一个长期的误解:云计算安全对大多数组织来说太复杂,无法有效地掌握。
这个误解表明,企业保护自己的本地网络或数据中心的过程非常简单。但是人们也要明白:如果这很容易,为什么每个人都会这样做?如果IT安全非常容易,为什么它会遭受持续不断的漏洞攻击?
事实上,人们对于云计算这个想法接近于对内部部署基础设施的看法,实际上可能会让IT专业人员陷入不安全的安全感。
“仅仅因为工作人员能够监控服务器和存储设备,并不意味着其安全控制措施已经到位。”CYBRIC公司的Kail说,“大型违规行为发生的原因是缺乏适当的保护和安全流程,而不是因为所在的地点。”
现实3:混合云安全需要新的模型和流程
事实是,当企业将工作负载转移到公共云时,其原有的做法仍在实施。如果企业想要保护混合云架构,或者寻求利用两个或更多不同平台的多云战略,情况会变得更加真实。
“云计算安全是一种新的模式,是软件定义的。不依赖于明确的网络边界。”Kail说,“其实施或维护并不复杂,而是需要一种新的思维方式和文化。”
Kail指出,这种文化是DevOps.希望在安全性方面提供更好的观点的组织越来越多地接受DevSecOps,它确实使安全性与软件的其他主要部分具有相同的地位。
误区4:公共云安全是云计算供应商考虑的问题
公共云的一个共同卖点是,它为组织提供了无法实现的计算能力、可扩展性和灵活性(由于成本、技能集、基础设施老化等原因)。
一家小型创业企业采用云计算服务,可以在一夜之间使用企业级质量的基础设施。其理由很简单:云计算提供商已经为其提供了服务,初创公司不需要购买服务器,更不用说构建数据中心,除非这样做是其更广泛的IT战略的一部分。
然而,这并不能免除其风险。因为在云平台上运行和存储的仍然是企业自己的数据和应用程序。企业当然应该选择根据自己的需求在安全和相关领域大量投资的公共云供应商。只是不要认为自己的工作已经完成。
现实4:公共云安全仍然最终取决于企业的CIO
Kail表示:“云计算提供商拥有适合客户使用的软件定义结构和API,云计算安全需要最终成为客户的责任。”
这并不意味着企业的公共云供应商不能提供帮助。正如Kail指出的那样,任何具有实力的云计算提供商都在不断投资于其平台的安全性,并且他们可以在全球范围内进行投资。
企业可以将过去常常阻碍云采用的巨大安全恐惧转化为重塑云计算安全的实践机会。
Gerchow特别为公共云安全提出了一些建议。他指出,“公共云环境中的每件事都应该使用密钥轮换措施进行加密。公共云也为使用单点登录和多因素身份验证打开了大门。”
SAS公司首席信息安全官Brian Wilson提出建议:如果企业优先考虑这些技术和实践,请确保其潜在提供商能够支持这些要求。例如,不要采用表面上的“加密”,而是真正了解他们如何支持密钥管理。
如果企业已经认清了云计算安全现实,那么可以根据其需求与适合的云计算提供商开展合作。