深度解析云安全检查
中国IDC圈12月14日报道:2011年12月1日 你认为你的数据在云系统中安全吗?以下有六个关于你的云供应商的棘手问题。
无论是依靠Google Docs进行文件共享的小企业还是将其全球ERP系统转移至云计算的大企业,他们都应使供应商通过网络提供应用和服务满足其一般性安全和法规的要求。这些要求涉及到谁可以访问到企业应用程序、数据及其主管系统,数据的储存位置以及这些数据是否是专用,而不是在硬件上共享。供应商同样应确保用户了解其数据访问人的详细记录,以便用户满足企业及其监管标准,并验证数据是否正确加密,这是企业防火墙外更为重要的一个因素。
企业对云的需求取决于其企业标准和法规要求、转移至云计算所用工作负荷的总额和类型、如何划分员工和供应商之间的管理和安全职责。安全需求同样取决于企业是否使用了SaaS、IaaS或PaaS产品,但他们至少应考虑在其云安全规划中的以下问题。
谁拥有认证或访问的控制权?
能够证明用户的身份认证、控制其访问过的数据和执行的职能都取决于他们的身份和角色,具备能力几乎是每位云用户的当务之急。当企业在防火墙内使用会控制其云服务器和应用程序的像Active Directory 那样的储存库来维护用户信息和控制装置时,身份验证可能最具挑战性。
据业内分析师表示,最理想的解决方案是拥有一项“联合”的身份管理准入制度来集中所有部门系统内外的认证信息,以便及时验证任何出示正确凭据的用户,如密码或验证码。它同样也在企业内或运系统中提供了单一登录,让用户输入单一的用户名和密码就能访问其所有应用程序和数据。虽然SaaS上游供应商拥有基础设施,为大量自身拥有配置来充当“身份供应者”的客户提供了单一登录,但很多规模较小的服务供应商及其客户都缺乏这些供应能力。
然而,由于联合的身份管理可能成本太高或较难实施,因此很多企业倾向于“同步化”的方法,能使不同的应用程序维护用户验证信息的不同副本。这样通过在多个地点和企业间传播用户凭证数据可能会危及安全,此外,员工在退出内部系统和云应用程序之间的退出时间中延迟,从而造成潜在的安全缺口。
另一种验证选项是支持云供应商直接连接到企业的用户信息存储库,这可能比同步化更为安全,但只有在这些企业拥有一个相对简单的系统收集时才会有效。这也是医疗保健供应商HCR采取的方式,其信息安全总监Thomas Vines表示,他在过去七年都使用了一个基于云的应用程序来管理企业的电子病历系统,并声称这种方法很适合该系统。Vines允许一家来自Zscaler的云安全服务商接入其Active Directory的实施,以确定哪些用户需要认证以及给予他们什么级别的访问权。
NetIQ的云产品管理总监Tom Cecere指出,在一项IaaS的实施中,通过服务供应商简单地链接到LDAP目录,客户就能购买云服务器的使用权。这是因为通常只有数量有限的管理角色,例如,一个角色是可能包括创建新服务器的用户,另一个可能会涵盖广泛的能扩大服务器能力的设置,也可能包含仍使用服务器的较大企业群。
许多像Symplified、Okta和Ping Identity这样的供应商会通过一种“简化的联合方式”提供单一登录,这种联合方式将重新定位用户的访问需求,以支持所有云服务的云验证程序。
另一项挑战就是要确保用户只能访问其应用程序,或是在他们被授权的应用程序中的数据和功能。
不是所有的企业都要求在规格化的访问过程中拥有相同的间隔水平,但供应商提供的细节水平十分重要,而不是只依赖于通过激励访问来获得最大利润的供应商提供的相当“粗糙”的管理控制。Aveksa就是一家能提供更细化的访问控制、销售其软件给云供应商和云客户的供应商。