2013云安全你必須面對的7大問題

2013 新年始伊，伴隨云計算應用的大規模落地，越來越多用戶使用云計算有關產品，有關云計算負面聲音一定會不斷出現，下面是一些首席信息安全官和安全愛好者所列出的云計算在安全方面的七大問題，不管是否危言聳聽，云計算的建設者都該引以重視，也許來自負面的聲音正式創新的最佳途徑。

1、沒有在一開始就核對身份

安全登錄到云計算的唯一的方式是必須通過企業身份管理系統。雖然許多云服務允許企業內部的任何人員在其中進行注冊、創建自己的ID和密碼，而不用憑借員工在企業的個人電子郵箱地址，但這并不意味著IT部門或企業就應該允許這種情況的發生。

“雖然這在一開始也許很容易，但不整合企業的信息管理系統將使得企業的系統都與某些漏洞可謂是開放的，同時也違反了相關的安全政策，并最終無法確保云計算的安全。”Axway首席安全官約翰蒂倫斯說。以類似的方式，一些公司正在快速部署IaaS服務——使用自助服務功能，以解決IT部門的緩慢和遲鈍。但這種方法繞過了相關的治理，允許在沒有防御的情況下訪問云服務器。

“人們連接到他們不應該看到的數據，如虛擬機上的傳統項目的從來不關的數據。”信息服務集團新興的技術分析師和云計算專家斯坦頓瓊斯解釋說。

如果它是一個面向客戶的云服務?訪問模式是什么?“您將如何對其進行整合以便允許用戶以類似于單一內部模式登錄。”俄亥俄州立大學首席信息安全官朱莉?塔爾博特哈伯德說。

2、對API安全要求充耳不聞

當公司遷移到云計算，用戶將需要API(應用編程接口)所以他們唯一可以利用公司的服務。云計算帶來的內部服務和功能接近于客戶想要的訪問。基于API的整合能夠滿足這一需求。

移動開發人員使用API在公司內部設備和商業信息之上建立有價值的系統。“如果開發人員能夠賺錢，這些收入會削減您的價值鏈，這樣您就可以通過開發者的API門戶分享收益。”蒂倫斯解釋說。

盡管如此，開發人員訪問API服務的API密鑰，已然被拿來與密碼進行比較。您可曾知道如果您失去了您的密碼會發生什么嗎?因此，使用云服務API的首席信息安全官們需要有一個堅實的API密鑰的安全保護計劃。

3、云供應商沒有保持足夠的獨立

隨著云服務的發展和新的供應商的不斷涌現，諸如亞馬遜和Facebook之類的老的供應商已然將最佳方案納入到了他們的標準中，而且他們的產品也能夠為小型企業提供服務，據蒂倫斯說。

“這對于企業內部基礎設施部署云計算是一種革命性的方法。”蒂倫斯說。

一切仍在發展變化中，今天最好的云解決方案可能明天便不是最好的選擇了。供應商在新標準方面的努力，TOSCA和CAMP(均來自于OASIS，結構化信息標準促進組織)及其提供的工具，使企業可以轉移到云架構，而又不會不可避免地把自己鎖在一款給定的云。

企業應該利用這些工具保持其獨立性，以便使得自己可以切換到新的云方法以便更適合的滿足企業的需求。在操作風險管理方面，業務彈性也很好，如果您需要有更好的靈活性，以便您能夠快速轉移到另一家服務供應商。

4、認為您已然將風險和責任都外包出去了

企業可以將一些基礎設施外包給云服務，但不能完全外包您企業的風險、問責制以及對于相關義務的遵守。企業需要讓其云提供商提供一定的透明度，以便讓他們充分了解自己的風險模型和企業策略。

這些需求能夠顯示出您的云服務提供商可能適合也可能不適合您企業的某些評估和風險管理。“您不能隨便的與一家云服務供應商簽下合同，要求云提供商承擔所有的風險。”蒂倫斯說。云計算提供商當然也不可能向您自己那樣關心您企業的風險。

去年的一個例子，那些將自己所有的業務都轉移到亞馬遜的單一的E2C服務的企業便遭遇了嚴重的停機問題。而那些將他們的數據存放在多個可用區域的企業便是由于分散了風險，從而能夠快速恢復。

5、在沒有IT和安全部門參與的情況下簽署了云解決方案合同

在沒有相關技術背景的條件下，您很容易注冊并選擇了一些大大小小的云供應商。市場上眾多的云服務：Dropbox、SharePoint、亞馬遜的額外的計算魅力等，您的企業可能已經在沒有IT相關專業知識介入的情況下使用云計算服務了，就像輸入您的信用卡號碼一樣容易!

“他們的想法是，他們可以繞過諸多的IT項目要求，并形成生產力。”Prescient Solutions首席信息官兼國家網絡安全專責小組的成員杰里·歐文說。

不幸的是，這種做法帶來了許多新的安全、性能和容錯方面的問題。在沒有IT部門參與的情況下實施企業解決方案，可能造成用戶與現有的系統、配置和應用的沖突。不合格的人員對于監管和遵守相關要求了解甚少，他們可能遇到的麻煩更多。“雖然這些云應用程序可以提供快速解決特定的功能需求，但他們所帶來的風險和脆弱性可能導致顯著的成本損失、系統故障、違規行為和面臨罰款。”歐文解釋說。

正是由于這些原因，所有云的采納都需要進行風險評估、合同審查、合規性檢查和企業內部政策檢查。當在部署和采用云計算之前，沒有任何IT、采購或是其他相關部門雞兒的情況下，企業有可能會失去所有對于相關數據、應用程序、服務和基礎設施的治理，塔爾博特哈伯德說。

6、高估云安全

信息安全論壇全球執行副總裁史蒂夫·德賓指出，急于采用云服務，實現潛在的節約，可能會使企業專注于云計算服務的功能，而沒有在意云服務提供商提供安全的方式，或如何在安全方面進行檢查。

這種情況往往在企業想當然的認為云服務提供商是為多家企業提供服務，他們必須有一個更強大的安全部門和強有力的政策、流程和程序時發生。“事實往往并非如此。”歐文說。通常云服務供應商將參加企業內部基本安全水平、自動安全應用程序和平臺的部署，完成大部分的安全措施。其他云供應商可能將更高水平的核心安全服務外包給專長的第三方供應商。但安全服務的第三方供應商的服務可能不包括云計算提供者與客戶簽署的合同要求的相關輔助措施。

“您必須要求服務提供者保持特定的安全功能、文檔安全任務，并提供所有安全政策和方案以及安全報告的副本。”歐文說。

7、不理解相關的費用

當云提供商展示他們的產品時，基于潛在客戶方面的因素他們經常只展示基本的產品成本。“不幸的是，在選定一家服務提供商之后，企業經常需要一些額外的服務、軟件許可證執照甚至硬件，以便執行所有任務。”歐文說。安全費用和遵守有關規定的成本同樣將上升。企業低估了云計算的成本，甚至由于為了滿足一些不切實際的內部IT資源期望，他們將需要了解云中的應用程序的數量。

歐文說：“這取決于云服務提供服務的類型(即 SAAS、PAAS、IAAS)，企業內部所需資源的數量可能不會改變。事實上，我們很多部署了云計算的客戶并沒有因為部署了云計算而減少其企業內部的相關職能部門的配備。”

在任何情況下，企業將應用程序和系統100%外包到云計算的可能性是很小的。即使企業將他們大多數的系統轉移到了云解決方案，但仍然有內部的基礎設施、工作站和工程師方面的要求。歐文說：“這樣一來，IT部門的成本只是受到了最低限度的影響。”