攻击威胁促使云安全标准迅速建立
中国IDC圈7月20日报道:据一名安全专家的预测,随着越来越多的公司开始选择将数据和应用从内部IT系统迁移到第三方提供的云服务上;因此,针对供应商基础设施的攻击也将变得“越来越严重”。专家认为这些威胁将促使相关人员就建立云标准的必要性展开讨论。
云安全联盟(CSA)常务董事吉姆。雷维斯宣称,由于更多的企业开始选择利用外包方式管理数据和应用,这种方式可能会受到黑客的注意,开始对云供应商的后台基础设施和平台即服务(PaaS)系统进行攻击。
这位高管称:“我认为人们将会看到非常严重的事故,并且事情也将会变得非常有趣,原因就是,这些事故可能导致出现需要谁来承担违约责任的讨论”。雷维斯正在新加坡出席一场国际标准化组织关于云安全标准的会议,与此同时建立了CSA新加坡办事处。
他指出,在这样包含了政府官员和私营企业代表参与的云安全标准会议上,选择最终将该架构加入到ISO标准之前,就“如何构建供应商和客户可以控制的架构”进行讨论是非常重要的。
雷维斯相信,由于企业迁移到云中的速度变得越来越快,建立安全标准已经成为不可忽视的头号问题。他进一步指出,尤其是虚拟化和云计算让越来越多的数据和资产都集中到单独的基础设施上,带来风险集中的问题需要被认识到。
他解释说:“以虚拟化为例。我们知道针对虚拟机管理器的攻击可能导致虚拟机出现跃动,这也就意味着很多客户可能会受到影响。”
雷维斯强调了与各国政府以及国家监管机构坚持交流的重要性,就象应对自然灾害导致的后果,作为利益相关者,他们可以学习利用自己的系统或者供应商减轻网络攻击带来的危害。
对数据隐私难题的求解
除了制定安全标准,雷维斯还非常关注现今可用数据位置隐私类法规的深化。他解释说,这是因为目前缺乏“恰当有效的数据隐私类法律法规”。
雷维斯指出,目前不同地区针对如何保护敏感信息的安全存在着不同的观点。举例来说,位于欧洲联盟的公司就不能将数据保存在区域之外的数据中心。
当然,雷维斯承认,通过采用建立“安全区域”的模式可以绕开这一问题。他解释说,一种可行的方法就是“进行格式化加密处理,这样的话软件中的加密信息就可以按照软件即服务(SaaS)模式,在不损害数据完整性的情况下,安置在任何位置”。不过,他进一步补充说,这些方法的效果“非常有限”。
从个人角度来看,雷维斯认为就更永久性的解决方案进行讨论的“速度应该加快”,以便让法律尽快确认这种情况,而CSA就正致力于加快与国家监管机构之间的沟通速度。
就“帮助法律制定者和政府官员了解云模式是如何运作的,并解释法律在技术的应用过程中依然得到了遵守,” 雷维斯进行了详细的说明,他指出如果该做法获得成功的话,不仅仅是受到高度管制行业中的公司可以获得好处,云服务供应商也会因为潜在客户群的扩大而受益。
雷维斯指出:“从经济学的角度来看,云服务供应商可以为超出国家范围的客户提供服务。如果希望成为区域或者全球供应商的话,来自司法管辖权方面的限制将会对获得成功的概率带来影响”。
这位CSA的高管预测,对于云行业来说,由于大量公司将看到云项目实施的结果情况,因此,接下来的18个月将是至关重要的。实际上,他已经发现在过去三个月里,大型项目的“迁移速度变得非常迅速”。
雷维斯指出:“公司已经相信云属于未来发展的方向,现在的问题是如何进行具体部署”:“对于企业来说,尽管对数据应该按照何种比例分配到私有云和公共云中,还需要进行大量的讨论,但至少他们已经开始关注混合问题了”。
作为CSA的高管,雷维斯表达出受到当前高速发展趋势的鼓舞,对接下来的一年半里云标准的建立让整个行业变得“更加协调”的前景充满了信心的观点。