登录 / 注册
IT168安全频道
IT168首页 > 安全 > 安全评论 > 正文

真的不要为云计算的安全而操心吗

2009-01-15 01:01    IT168网站原创  作者: 沈之扬编译 编辑: 李翔

    笔者总是在网上溜达,以深入了解最新的技术趋势,分析这些技术趋势可能如何影响我们如何使用技术,以及技术如何改变我们保护数据安全的方式。笔者在网上寻求知识的过程中,经常会遇到一些直冒傻气的评论和博客;笔者基本上懒得去理会。不过今天遇到的情况有所不同。

    通过一连串网站链接(笔者已记不起点击了多少个),笔者偶尔中看到了Howard Flomberg在Examiner.com上面的这个博客帖子。Flomberg说,数十年来他一直在阅读介绍公用计算的内容,对此笔者并不怀疑。公用计算概念不是什么新概念,虚拟化概念同样也不是新概念。虚拟化在大型机上已经存在了好长时间。

    但笔者确实弄不明白为什么他与其他许多人一样,老是把虚拟化和“云计算”混为一谈——两者其实是两码事。当然,虚拟化可能是云的一部分。但是也存在没有虚拟化的云。同样,运行几个虚拟化容器不是说它就是云计算基础架构了。云计算的实质绝不是通过Web提供信息和应用服务、作为一种简化的公用计算这么简单。尽管虚拟化会是云计算的一个基础,但两者不是一个概念。即使这种概念上的混淆也没有让笔者不高兴。

    真正让笔者不高兴的是,Flomberg和许多其他人似乎认为,云计算天生就是安全的。笔者几乎可以肯定地说,事实并非如此。Flomberg在描述了云计算具有的一些好处后,发表了如下高见:

    “如果把应用软件和数据库迁移到海量内存的服务器上,你可以把精力集中在产品上。安全,担心什么安全?云计算现有的安全性让中央情报局恼羞成怒,连他们都破解不了。”

    笔者当他是在谈论AES加密。数据从客户终端传送到云环境的途中,甚至存储在远地的时候,对数据进行加密当然是个好主意。毫无疑问,对数据进行加密是确保安全的一个重要方面。但对企业而言,这只是确保云计算信息安全的一个基本方面。

    笔者有几个云计算安全方面的问题想问Flomberg:

    首先,如何确保数据进行了隔离?如果贵公司需要遵守众多政府和行业法规中的任何一项法规,要是不对文件进行隔离就加密,根本达不到安全要求。此外,你绝对不希望自己的高价值数据与低价值数据混在一起,不是吗?你希望能够对数据进行适当隔离。

    接下来是这个问题:你的数据将放在哪个国家?没错,有许多国家的法规禁止某些类型的受保护数据离开国家边界。

    有没有能力来验证你的云计算服务提供商确保数据安全?或者,有没有能力来独立审计提供商的政策和流程?

    云计算服务提供商招聘的员工和管理员其背景如何?谁实际上可以访问你的数据?即使数据经过了加密,仍有可能丢失、损坏,或者你无法访问数据。AES在这方面如何帮助你?

    贵公司的业务连续性和灾难恢复计划如何?

    防止数据从云计算环境丢失的计划又如何?

    贵公司如何管理针对放在云计算环境的应用程序和数据的身份和访问管理?

    云计算服务提供商所使用的应用程序代码其基本安全如何?笔者认为,缓冲区溢出、数据注入攻击,以及我们还没有解决的其他所有来自应用程序的安全挑战,在云计算环境下根本不会消失得无影无踪。这一点别忘了。

    上面这些问题只是来自云计算的几个安全挑战,无论云计算服务是外包商提供的,还是你自己构建专用云。

    如此轻率地对待云计算方面的IT安全,说出“担心什么安全?——只要对数据进行加密,你就高枕无忧了”之类的话不但很幼稚,也很危险。从很大程度上来说,如今我们之所以深陷应用安全泥淖,就是因为早在2000年的时候在Web应用安全方面存在这种短视看法。

标签: 安全策略
相关文章
  • 2009-01-15
  • 2009-01-15
  • 2009-01-15
  • 2009-01-15
  • 2009-01-15
网友评论
已有0条评论
  • IT168企业级IT168企业级
  • IT168文库IT168文库

扫码送文库金币

编辑推荐
系统架构师大会
系统架构师大会
点击或扫描关注
IT168企业级微信关注送礼
IT168企业级微信关注送礼
扫描关注
首页 评论 返回顶部