“云安全”(Cloud Security)是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
云计算中的安全控制其主要部分与其它IT环境中的安全控制并没有什么不同,然而,基于采用的云服务模型、运行模式以及提供云服务的技术,与传统IT解决方案相比云计算可能面临不同的风险。
即使有些运行责任落在某些第三方伙伴身上,云计算的一个独特点就是能够在适度地失去控制的同时又能保持可纠责性(acc?untability)。
一个机构的安全态势的特征取决于成熟度、有效性以及实现基于风险调节的安全控制的完全程度,这些安全控制可以在一层或多层上实现,包括设备(物理安全)、网络基础设施(网络安全)、IT系统(系统安全),一直到信息和应用(应用安全),更多的控制还包括人员和过程层面的,职责分离和变更的管理等。
在不同云服务模型中,提供商和用户的安全职责有很大的不同。例如,Amaz?n的 AWS EC2架构作为服务包括了一直到hypervis?r安全的供应商的安全责任,也就是说它们只能解决物理安全、环境安全和虚拟化安全这些安全控制,而用户则负责与IT系统(事件)相关的安全控制,包括操作系统、应用和数据。
Salesf?rce.c?m的客户资源管理CRM SaaS提供的正好相反,因为整个“栈”都由Salesf?rce.c?m提供,提供商不仅负责物理和环境安全还必须解决基础设施、应用和数据相关的安全控制,这减轻了用户的许多运行责任。
云计算的吸引力之一在于由经济上的可扩展性、重用和标准化提供的成本效率,为了支撑这种成本效率,云提供商提供的服务必须足够灵活,以服务最大可能的用户数、最大化他们的市场,不幸的是,将安全集成到这些服务方案中常被认为使得方案变得僵化。
这种僵化常与传统IT相比,表现在云环境不能部署同等的安全控制,这主要是由于基础设施的抽象化、缺少可视化、缺少集成多种熟悉的安全控制手段的能力,特别是在网络层上。 |
