今年的RSA大会上云计算安全成为了绝对的主流,随着云计算被越来越多的企业用户了解,人们对于“云”背后所产生的安全问题提出众多质疑,在本次大会上将出现许多针对云安全的讨论,相信本次大会将为云计算安全带来全新的理念!
随着更全面的安全应用程序和数据库技术的迅猛发展,企业现在有了更多的方法来进行实时的身份监控、权限和证书检查。然而,日渐复杂的安全问题依然有增无减,使得其带来的威胁仍然不容忽视。云计算的产生将给互联网带来天翻地覆的变化,企业坚定不移的走上了云计算道路的大趋势将不会受到任何挑战,但数据保护和虚拟环境中的风险管理却让人望而却步,毋庸置疑在云计算的发展道路上,安全问题已经成为了它最大的“绊脚石”。
隐藏在云计算背后的诸多安全问题
RSA CONFERENCE 2010大会上,云安全联盟发表了他们全新的调查研究,在这份调查中显示企业在选择网络服务时面临着恶意和意外数据丢失的双重危险。而恶意攻击和来自内部的合作伙伴或最终用户无意的行为所带来的这些漏洞也不尽相同。
报告中提出最关键领域是应用程序编程接口(API)开发工具最为脆弱。研究人员表示,企业将众多的其他服务捆绑到一个云计算应用程序上,无形中使得“自己暴露在最薄弱的环节”,其中任意一个服务受到损害,将会导致其他所有连接的应用程序遭到攻击。
该报告指出,其他可能的风险包括恶意攻击或管理员及内部员工的发泄行为,在线恶意攻击和僵尸网络以及帐号被盗的可能。
云安全联盟的创始人兼安全顾问Jim Reavis表示,“很显然,云服务是企业必须掌握的下一代信息技术。这份报告的目的不仅在于帮助IT企业确定那些至关重要的安全威胁问题,更重要的是有利于企业懂得如何主动保护自己。”
云安全是转变安全交付的全新方式
在本次大会上,RSA总裁亚瑟•科维洛先生表示,“有些事情阻碍了云这一愿景的充分实现。简单地说,那就是安全。51%的首席信息官认为安全是云计算最大的顾虑。在当今日益虚拟化和超扩展的企业迈向云的演进中,安全的步伐没有跟上。简而言之,各地的人们必须能够信任云,即使他们不能真正或似乎看到云。”
科维洛先生指出,将一个虚拟抽象层嵌入到技术堆栈,为业界提供了一个难得的机会实施安全“改装”,能够比我们现有的物理基础架构更安全。科维洛还补充说,“企业可以从以基础架构为中心,转变到以信息为中心的策略,集中力量做最重要的东西:信息及访问权限,而不是一个毫无意义的边界或单纯管道。”
RSA认为,迈向私有云的旅程有四个清晰的阶段:
1. 首先,采用虚拟化技术整合非关键基础架构,例如测试和开发系统、低风险应用。它促使企业熟悉虚拟化工具,开始“硬化”虚拟基础架构的过程。
2. 虚拟化关键业务应用,确保该组织对虚拟环境的合规状态,保持与物理基础架构同等水平的能见度。
3. 开发内部云,将信息基础架构做成一个公共设施,由完全虚拟化、自动化的数据中心构成,应用负载以策略和服务级别来驱动。
4. 将基础架构外包给服务提供商。这一阶段,需要仔细挑选,挑选依据是他们在“执行策略、证明合规、管理多租约”方面展示出来的能力。
科维络总结说:“如果我们从一开始就将安全内建到虚拟基础架构,我们不仅可以获得能见度和可管理性,而且可以获得风险决策点,控制无处不在。总之,云计算将彻底转变我们交付安全的方式。同时,信息安全将使云计算充分利用互联网,彻底转变现有IT模式。这意味着,我们能够为各种规模的组织提供新一波的效率、灵活性和协同性。”
托管提供商和安全专家联手应对云计算安全挑战
随着云计算应用的增长,托管提供商将与安全厂商签署协议向用户提供“security-as-a-service”(安全即服务)的选择。对于这样的服务,业内人士也提出了质疑“企业IT经理会把这种新颖的安全方式结合到云计算环境中吗?”
在本次大会上,上述的问题似乎得到了答案:IT经理对于这样的服务有期待又害怕,因为他们始终在试图解决风险因素和法规遵从的问题。
安全研究公司TheInfoPro的总经理Bill Trussell说,相当多的机构正在使用他们认为是云计算服务的东西。这家研究公司刚刚发表了其半年度的对北美大型企业和中型企业的信息安全专业人员进行的调查。但是,当TheInfoPro询问受访者他们是否在云计算环境中使用基于云计算的安全服务的问题时,不到15%的受访者表示很可能使用这种服务。
Trussell说,当问到机构是否会向云计算提供商扩展用户接入与配置或者身份识别等功能的问题时,受访者表示这种情况并不太常见。企业安全人员对于那些基本上不太熟悉的东西、不在他们的现场的东西、不在他们直接控制之下的东西、甚至在他们使用的云计算提供商直接控制下的东西仍然感到很紧张,因为安全服务是由拥有安全技术专长的第三方厂商控制的。不过,这些新的安全即服务计划将很快应用到云计算。
总结
毋庸置疑,RSA2010之后云计算安全将巩固它的地位成为信息安全领域新的发展趋势。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
正确配置资源以减少云安全威胁
我们都知道,亚马逊S3数据泄露事件曾占据头条新闻,但导致该数据泄露的错误配置安全控制并非亚马逊独有的问题。事实 […]
-
云安全产品井喷时代 东软NCSS如何“笑傲江湖”?
云计算并非十全十美,越来越多将业务迁移到公有云或私有云的用户不得不面对云计算带来的安全问题……
-
技术追踪:山石网科和VMware碰撞出了什么火花?
网络安全提供商山石网科与云基础架构和移动商务解决方案提供商VMware于前不久在京召开“云中行走 格保安全”战略发布,那么这一次,双方碰撞出了什么火花?
-
在云中添加安全管理控制层
企业战略集团(Enterprise Strategy Group)分析师Jon Oltsik认为,许多网络安全专业人员在自己网络上安装管理服务器,以避免出现破坏性配置错误。