與安全相關的問題繼續成為財富 500 強組織采用云的障礙。與云計算安全相關的主要顧慮包括帳戶信息劫持、數據完整性破壞和數據盜竊等。
需要改變對公共云安全性的看法
這些擔憂因最近襲擊一些重要組織(例如摩根大通、家得寶和塔吉特等)的數據泄露事件而進一步加劇。還有更多的例子增加了人們對公共云環境中數據丟失的恐懼。事實上,除了他們自己的現場數據中心之外,大型組織天生就對任何環境的數據完整性持懷疑態度,這些數據中心促進了強大的物理控制并建立了牢固的信任紐帶。
然而,隨著基于軟件技術的安全解決方案的出現,就業務關鍵數據的存儲而言,對安全性的整體認識發生了相當大的轉變。公共云可以實施堅不可摧的安全措施來保護數據。軟件解決方案的廣泛采用緩慢而穩定地導致了安全相關范式的轉變,該范式側重于本地數據中心提供的物理安全性。
專注于 IT 和安全的組織必須習慣這樣一個事實,即他們將無法維持對云物理基礎設施的直接控制。謹慎的做法是將擔心其應用程序和其他數字資產安全性的任務留在云環境中。
數據的當代狀態受到數百萬訪問者之間廣泛分布的影響,這些訪問者通過廣泛的云服務模型,包括 IaaS、SaaS 和 PaaS,以及私有云、公共云和混合云。數據安全面臨的挑戰可歸因于數據從以物理邊界為特征的傳統安全本地基礎設施轉移到以邏輯邊界為標志的高度廣泛的云環境。
數據驅動云控制的意義
對數據中心層實施強大的安全控制是云服務提供商的首要任務。在軟件與可見性工具、基于主機的安全機制、日志記錄解決方案和常見部署網絡的安全控制的邏輯集成方面取得了顯著進步。
盡管有這些最佳實踐,但重要的安全漏洞仍然是云服務提供商關注的問題。面向數據的安全控制繼續躲避專注于保護數據的專家,無論數據位于何處。云中的安全措施必須獨立于底層云基礎設施,并應采用面向數據的方法。
云計算環境的安全策略需要設計為使客戶能夠直接控制,并且安全措施應該獨立于數據位置。考慮到數量呈指數級增長,寄希望于邊界和網絡邊界幾乎沒有任何意義。
因此,大量企業客戶期待通過劃分攻擊面來減輕安全風險也就不足為奇了,這樣即使是在管理程序上運行的虛擬機的內存也能得到無縫保護。
建立新的最佳實踐
這種共享安全模型可能會對組織的關鍵任務數據造成嚴重破壞,并迫使公司在幾小時內停業,正如最近的代碼空間攻擊所見證的那樣。越來越需要建立以數據為重點的安全措施,以使企業免于承擔保護在共享安全環境中運行的應用程序、數據和工作負載的負擔。
分擔安全負擔
由于云提供商共享責任模型的存在,云計算環境中安全的復雜性進一步復雜化。該模型期望云用戶關注他們的應用程序、操作系統、VM 以及與這些相關的工作負載的安全性。云服務提供商在共享安全模型中的責任僅限于保護物理基礎設施,而不是超出管理程序的級別。
這種情況需要開發新的最佳實踐來設計以數據為中心的安全模型,該模型可以提供前面提到的功能。云客戶應該能夠通過啟用隔離的虛擬化層獨立于云服務提供商運營,該虛擬化層能夠將數據和應用程序與其他租戶和云服務提供商分開。
新的信任邊界必須與加密相關聯,以確保數據始終伴隨著控制和安全策略。這也避免了客戶遵守云服務提供商設計的安全措施的需要。在執行嚴格的安全措施時,不得妨礙應用程序的性能。這需要使用高級加密分段和提供卓越安全性的高端密鑰管理系統。同樣,安全措施不應成為應用程序部署的障礙。