2013年的RSA信息安全大会再一次谈到了云计算的安全问题。在云计算真正落地之前,其安全性必须首先获得企业客户的认可。但在目前看来,这个障 碍并不容易扫除。云计算服务商和云安全联盟(Cloud Security Alliance——行业协会)尽了最大的努力却收效甚微,云安全问题依然让IT主管们头疼。
在本届大会云安全分会场,IT安全专家抱 怨云计算服务商缺乏透明度,致使客户面对云服务时踟蹰不前。云服务的不透明性主要体现在服务水平协议、管理功能以及安全责任这些领域。与会者指出,当前云 安全没有权威认证,云计算服务商又不允许企业客户去实地考察接触机器,IT主管不知从何处入手。
对于云服务的不透明性,举个具体的例 子,云计算服务软件漏洞对客户不透明,这直接阻碍了客户对漏洞相关运行风险的管理。会上,Zynag公司前CSO Nils Pulhman提醒企业客户:面对安全漏洞,云计算服务商们首先考虑的是降低对自己的影响,其次才会考虑客户,所以客户必须建立对云计算服务的控制。
Nils Pulhman建议IT高管严格考察云计算服务商。“像警察一样去调查,”他说。“摸清服务商是否成熟。”——根据他的经验,尤其是初创公司,十有八九被盘问击溃。
在透明度问题上,专家的意见是一致的。 vScaler云计算业务副总裁Patrick Foxhoven补充说:“你必须对服务商提出透明度的要求,没有足够透明度,你不可能进行审计。”
但很多与会者指出,单凭一个企业客户的力量,不足以挑战强大的云计算服务商一贯的不开放的安全策略。
还有一位参会者提出了问题:如果想评估一个SaaS服务商,它运行在另一个PaaS服务商的平台上,而且又是托管在第三个云计算基础设施服务商处——“这是否意味着需要评估三次?”
Foxhover把这个问题搁置一边,而是说起作为一个服务商,他收到过大量与安全相关的调查问卷,这些都来自潜在客户,其中很多问题并不适用云计算实现安全。
然后他回到刚才的问题,仅说到答案没那么简单。最后,在服务商的选择上,他建议IT高管多与其他客户交谈,针对一个特定的服务商了解他们的经验。“这是我们今天所面临的不幸的现实。”Foxhoven总结说。
