云计算安全性能七宗罪

来源：光明网　作者：佚名　责任编辑：admin　发表时间:2013-01-27 14:51　

核心提示：安全登录云的唯一方式就是通过企业身份管理系统。很多云服务允许企业的任何人不通过企业网站注册，就可创建自己云服务的用户名与密码，并能把云服务的授权证书与其私人邮箱地址连接。这种现象时有发生，但这并不意味着IT部门或者企业应该默许这种行为。

自动化、节约成本还有数据冗余――难怪云方案具有如此强大的吸引力。不少首席信息安全官(CISO)认为，使用云方案以后就可以高枕无忧了。但如果他们知道云在程序运行中出现了多少错误，或许夜不能寐。

现在，信息安全工作人员曝出云计算在安全方面存在七宗罪。他们认为，这七宗罪足以抵消云计算所带来的好处。

用户登录的检查核对机制不完善

安全登录云的唯一方式就是通过企业身份管理系统。很多云服务允许企业的任何人不通过企业网站注册，就可创建自己云服务的用户名与密码，并能把云服务的授权证书与其私人邮箱地址连接。这种现象时有发生，但这并不意味着IT部门或者企业应该默许这种行为。

“以这种方式开始提供的云服务，没有与企业IMS整合，这就使得企业面临策略违规、信息泄露的风险；而且，这些企业最终没有能力来保证云的安全性。”Axway首席安全官John Thielens表示。

同样，一些公司快速部署了IaaS(Infrastructure as a Service，基础设施即服务)，这也是利用了自我服务能力来解决其他部门对IT部门缓慢与无应答的投诉。但这种方式阻碍了管理，因为其允许在没有安全保护的情况下直接登录云服务器。

信息服务集团新技术调查员、云专家Stanton Jones就此解释道，“如此一来，员工就可以看到那些他们不具备查看权限的数据，比如说在VM(虚拟机)中的遗留问题数据。这些问题数据永远不会被关闭。”

俄亥俄州立大学首席信息安全官Julie Talbot Hubbard认为，为安全起见，企业内部网络模式里需要有单点登录。

API使用方法被忽视

一家企业转移到云服务，用户需要一个API(application programming interfaces，应用程序接口)，这样就能以自己的方式来平衡公司所提供的服务。云所带来的内部服务与能力，将更贴近想登录这些服务的客户。基于API的整合方案就可以满足这些要求。

移动应用开发者使用API在公司内部与商业信息之上创建有价值的生态系统。“如果开发者将这种生态系统货币化，那带来的收益将会打破企业的价值链，所以你应该通过开发者门户(developer portal)建立一个收益分支。”Thielens说。

我们已经说过，API密钥，也就是可以使开发者登陆API服务的密钥，已经可以与密码相抗衡了。想知道如果你忘记密码，将会发生什么吗？CIO使用云服务API，就需要一个完善的安保计划用以保护API密钥。

不能完全脱离云服务供应商的掌控

Thielens说，随着云服务的不断进化，出现了新供应商，解决方案也推陈出新，传统云服务保护网站，如亚马逊、Facebook等已经转型：在更小范围内提供最优标准与产品。

“这对云来说是革命性的解决方案，对于预置基础设施来说也是。”

有关云的一切，还处在不断进化中，现有最佳云解决方案在今后未必是最优选择。类似TOSCA与CAMP这些新标准(两项标准均来自于OASIS，OASIS是一家结构化信息标准促进组织)提供了工具：企业就可以转移到云上，也可以不将其云架构绑定在特定的云服务商身上了。

企业应该使用这些标准工具来维护自身独立性，使云解决方案更贴近实际需求。从运营风险角度来衡量，如果企业拥有快速更换其他运营商的灵活性，那业务弹性的表现会更好。

外包风险与责任追究

企业可以将部分基础设施外包到云上，但是企业不能完全外包风险与承诺义务。企业都要求云供应商具有一定限度的透明性，这样企业才能掌握一些风险模式，并据此调整企业战略。

所有这些需求都在告诉云供应商，自从某些云可以轻易登录并有管理风险以后，对企业而言，云可能就没有那么适用了。Thielens指出，“企业不会撇开云供应商，去接手所有风险。”

信息化部署以及安全性考虑不足就直接签署云解决方案

从现状看，企业很容易从不同供应商处签约获取云服务，从此进入云时代。而对云服务应用范围的大小，即使这些企业一点专业知识都不具备，也不存在任何问题。实际上，就和赚信用卡积分一样简单。

Prescient解决方案首席信息官、美国国家网络安全特别小组成员Jerry Irvine说，“这就意味着，企业认为可以缩短实施IT项目所需时间，并使云成为生产力。“

但是，这种做法会带来很多新的安全及容错率等方面的问题。在不牵涉IT的情况下实施公司解决方案，很可能出现现有系统、配置与应用不兼容的情况，那些对规范与需要遵守的要求不甚了解的员工很可能就会遇到问题。

Irvine解释道，“当这些云计算应用能够为企业提供某些特殊需求的快速解决方案时，风险与缺陷将使企业在系统失误、安全缺口等方面耗费大量资金。”

因为这些特殊原因，所有启用的云方案都要符合企业风险构想、合同复审、规则审查以及内部政策审查。

“很多企业已经发现，尽管缺乏内部启用云计算的公司政策，但在企业内部，还是可以使用很多云服务。”信息安全论坛全球副总裁Steve Durbin说。

Talbot-Hubbard认为，“如果没有任何来自IT、采购或者法律部门的员工参与到企业转移到云的行动中，那么企业将丧失对其相关数据、应用、服务及基础设施的控制。“ (责任编辑：admin)

“扫一扫”关注融合网微信号

免责声明：我方仅为合法的第三方企业注册用户所发布的内容提供存储空间，融合网不对其发布的内容提供任何形式的保证：不保证内容满足您的要求，不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网，融合网不承担任何法律责任。

第三方企业注册用户在融合网发布的内容（包含但不限于融合网目前各产品功能里的内容）仅表明其第三方企业注册用户的立场和观点，并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息，并不代表本网站的观点和立场，更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点，与本网站立场无关，不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断，自行决定并承担相应风险。

根据相关协议内容，第三方企业注册用户已知悉自身作为内容的发布者，需自行对所发表内容（如，字体、图片、文章内容等）负责，因所发表内容（如，字体、图片、文章内容等）等所引发的一切纠纷均由该内容的发布者（即，第三方企业注册用户）承担全部法律及连带责任。融合网不承担任何法律及连带责任。

第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容（如，字体、图片、文章内容等），经相关版权方、权利方等提供初步证据，融合网有权先行予以删除，并保留移交司法机关查处的权利。参照相应司法机关的查处结果，融合网对于第三方企业用户所发布内容的处置具有最终决定权。

个人或单位如认为第三方企业注册用户在融合网上发布的内容（如，字体、图片、文章内容等）存在侵犯自身合法权益的，应准备好具有法律效应的证明材料，及时与融合网取得联系，以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

融合网联系方式：（一）、电话：（010）57722280；（二）、电子邮箱：2029555353@qq.com dwrh@dwrh.net

对免责声明的解释、修改及更新权均属于融合网所有。