IT泄密事件引起了公众对云安全的担忧。为了限制潜在的问题,企业必须考虑治理方面的要求、工具、提供商及更多因素。
应用程序和数据的安全性对任何企业来说都极为重要,但责任却不是平均分配的。因而,IT部门需要制定一项云安全战略,明确企业的其余部门或人员需要遵守的合规政策或原则。
公有云消除了传统数据中心的一部分基础架构和管理开销,但满足云治理需求的重担仍然责无旁贷地落在IT部门的肩上。在不断变化的云计算领域,建立一套类似日常流程,而非产品的管理模式很重要。
根据贵企业的数据位置、隐私性和治理要求来选择云提供商,另外根据制定覆盖整个企业的云治理战略的最佳实践来选择云提供商,这对任何IT部门来说是重要的考量因素。
云安全方面的挑战
说到云安全,大多数企业并不是非常清楚什么是事实、什么是虚构。据Alert Logic公司的《2012年云安全状况报告》声称,威胁活动的多样性并不如基础设施的所在位置来得重要。攻击在本质上具有随机性,所以可以从外面访问的任何系统(无论是企业系统还是云系统)都有同样的机会遭到攻击。
该报告发现,基于Web应用程序的攻击经常袭击服务提供商的环境和内部环境,分别有53%的企业和44%的企业遭到此类攻击。不过,内部环境受到的攻击次数多于服务提供商环境,分别平均是61.4次攻击和27.8次攻击。相比服务提供商环境的用户,内部环境用户也要受到明显更多的蛮力攻击。
2012年的这份报告在今天仍然有警示作用,近期索尼、家得宝和塔吉特等公司的数据泄密事件与云无关。大多数攻击发生在传统系统上,归咎于老化的安全系统和暴露的安全漏洞。
云计算继续变得越来越普及,实现的系统变得更复杂、更异构时,拥有行之有效的云安全战略和技术具有的重要性大幅提升。
身份和访问管理(IAM)又称为身份管理,它不是什么新技术,但云计算的兴起让它登上了舞台的中央。亚马逊网络服务(AWS)等许多云提供商在默认情况下径直将IAM作为一项服务来提供。其他提供商要求客户选择和部署第三方IAM系统。
IAM 的概念很简单:提供一种安全方案和技术,让合适的人员可以以合适的理由,在合适的时间访问合适的资源。这个概念遵循这个准则:任何系统和任何人都有身份,包括人员、服务器、设备、API(应用编程接口)、应用程序和数据。一旦身份进行了验证,接下来只要定义哪些身份可以访问其他身份,并制定界定这些关系限制的政策。
一个例子就是,定义并存储一组基于云的API的身份,这些API只被一批运行某个应用程序的智能手机所使用。这些API各自都有身份,智能手机、应用程序和使用手机的人也都有身份。每当与另一种资源进行交互时,IAM服务就会验证每个实体的身份。
IAM 的一个典例就是AWS版本,这是一种完全成熟的身份管理和安全系统,它让用户可以控制对AWS云服务的访问。这个IAM让你可以通过权限的方式,创建并管理AWS用户和用户组,权限允许或禁止对数据进行访问。亚马逊的IAM其好处在于,它能够管理谁能访问什么数据、在什么情况下访问。
行业的其他厂商
当然,不是每个人都运行AWS。幸好,许多新的IAM厂商致力于云,通常承诺同时提供身份管理和单点登录服务。这些厂商包括Bitium、Centrify、Okta、OneLogin、Ping Identity和Symplified。
每家厂商对待云安全和IAM的方法各有不同,所以要结合你的具体要求来测评每个产品。选择合适的云安全方案时,一定要考虑到下列因素:
- 基于云的身份管理服务或其他安全服务与企业安全系统的整合。安全对云系统和非云系统来说都应该是系统性的。应考虑同时满足这两套需求的产品。
- 基于身份的安全服务的设计和架构。有时候,安全服务可能来自你的云提供商。而在另外许多情况下,你不得不选择并部署第三方安全工具。
- 测试(包括“白帽”安全测试)很重要。测试结果在安全系统的实际有效性方面颇有说服力。
- 对于性能的影响。在一些情况下,安全会让你的系统拖慢到影响生产力的程度。
- 行业和需要遵守的所有必需的法规。
英文原文:Devise-a-cloud-security-strategy-for-governance-needs
