電腦版 寄語2014年的雲服務 就想讓你安全

這些服務的最大障礙。對於大多數行業而言，雲服務已經成爲企業基礎設施的一部分，很多員工在沒有經過IT部門批准就已經部署了雲服務。例如雲服務評估公司Skyhigh Networks增加了約500項雲服務。
      Skyhigh Networks首席執行官兼聯合創始人Rajiv Gupta表示：“員工使用雲服務幾乎沒有評估這些服務的風險。”出於這個原因，在2014年，安全要求將會成爲企業的核心問題，近一半的IT經理[注]都關心其雲資源的安全性，而35%的人認爲雲安全要優於企業內部部署。其中一個原因是：很多雲供應商未能解決其客戶關心的問題。
      安全服務供應商Sage Data Security公司總裁Charles Burckmyer稱其客戶經常通過他們評估第三方雲服務的安全性。他表示，“客戶需要建立一個結構化的方法來與雲供應商合作，並要有一個程序來創建被允許的例外情況、分配風險和緩解這種風險，對於大多數客戶而言，圍繞雲服務的安全性是非常重要的。”
      通過與其雲供應商進行溝通，企業客戶可以創建一個安全的混合基礎設施。下面是企業應該與雲供應商討論的五個問題：
      1. 明確安全責任
      雲服務供應商繼續將保護數據的責任放在客戶身上，而很多客戶認爲雲服務應該對數據承擔責任。與前幾年相比，在2013年，這種期望差距有所縮小，但根據Ponemon研究公司的調查顯示，超過三分之一的客戶仍然期望其軟件即服務[注]供應商保護應用程序和數據的安全。只有8%的企業通過其信息技術和安全團隊來評估應用程序的安全性。
      Sage Data Security的Burckmyer表示，雖然很多行業已經轉移到雲計算，但一些安全意識較強的行業和那些需要遵守法規的行業則止步不前，因爲雲供應商沒有明確其風險。
      他表示，“雲供應商盡職調查、瞭解客戶的責任以及瞭解你的供應商將如何支持你履行你的職責，都是非常必要的話題，從監管和安全的角度來看，轉移到雲計算的過程一直沒有很明確，因爲很多供應商做的還不夠。”
      2.構建能夠提供有意義日誌數據的系統
      越來越多的企業想要收集關於其數據和應用程序在雲中的安全信息。然而，很多雲供應商沒有提供詳細的日誌文件，或者不能完全分離一個客戶與另一個客戶的事件信息。
      “我們需要制定默認的標準做法，即有一定量的日誌信息可以主動提供給所有需要追蹤的企業來進行各種分析，”雲安全聯盟首席執行官Jim Reavis表示，“日誌文件一直是癥結所在。”
      對管理訪問日誌保持審計是非常重要的，但大多數小型雲服務沒有提供這種信息。
      3. 加密應該更普遍
      企業不僅要求雲中終端到終端加密，而且越來越多地要求雲供應商允許他們在將數據轉移到雲中前，在企業內部加密數據。
      雲服務管理公司Netskope首席執行官Sanjay Ber表示，雲供應商不僅要與客戶合作，而且要制定強大的加密解決方案，以讓企業確保其數據的安全性，同時允許保留一些功能。
      Beri說，“作爲應用程序供應商，加密應該是他們可以比任何人都做得更好的事情，沒有人比他們更瞭解應用程序，只要他們將密鑰交給第三方管理，很多客戶都會很高興。”
      4. 通知用戶異常情況
      如果攻擊者獲取了賬戶信息，加密將不足以保護客戶的數據。出於這個原因，雲供應商還必須部署良好的異常檢測系統，並與客戶共享這些系統的信息和審計記錄。Gupta表示：“你需要所有這些不同的工具來確保雲供應商滿足客戶的需求，這是一種分層的辦法。”
      5. 如何保護從第三方的訪問
      雖然雲供應商受到其所在國家以及數字所在國家的監管，由美國國家安全局和其他國家情報局進行的大量數據收集工作讓企業越來越多地開始詢問雲供應商，誰在請求數據、頻率如何，以及供應商是否實現這些國家的請求等。
      CSA的Reavis表示，“很顯然，供應商需要讓客戶瞭解他們是如何管理和處理信息請求，供應商還沒有開始看到，他們需要對政府的請求敬而遠之。”
      這種明確需要延伸到信息的所有權，雲供應商需要強調其客戶仍然對這些數據擁有所有權，並儘可能明確供應商對數據的使用權。