对话嘉宾:
赛门铁克中国区安全产品总监 卜宪录
明朝万达总裁 王志海
迈克菲中国区技术总监 郑林
引发政策、法规风险
《通信世界周刊》:在企业部署云或向云迁移的过程中,常常面临的安全问题有哪些?其中最为让企业担忧的隐患是什么?
卜宪录:当前的企业IT已经突破了三个边界:一是突破了应用的边界,因为云计算及IT的变化,使得应用开发的难度降低了,企业应用越来越多;二是服务的边界发生变化,企业所需的任何服务都可以通过第三方来提供,而云计算让服务的提供方式变得更加便捷,也使企业的边界不断拓展;三是企业内部IT资产的概念变得更加模糊,现在很多基础设施并不是企业拥有的,企业真正拥有的是信息和数据。应用、服务和资产边界的变化,使IT主管对安全产品的控制力减弱,企业暴露出的安全隐患越来越多。
实际云环境的潜在风险包括恶意软件、黑客盗窃以及机密资料的丢失。最令企业担忧的隐患是数据安全无法得到保护,比如可能面临的风险包括黑客从云提供商处盗取数据,通过云端以缺乏安全防护的方式分享敏感数据,以及无法按照政策法规的要求恢复云数据等。
王志海:海量的数据被转移到用户掌控范围之外的设备(云)上时,对具有敏感信息的企业而言,这种所谓的便利性,恰恰也是数据泄密的风险所在。目前云服务所面临的安全风险主要在以下四个方面。
一是采用数据“云”端存储技术时,云终端可以通过物理硬件防止数据从终端泄露,但由于数据是明文存储在终端,依然无法解决文档的授权管理,即如何防止员工查看非授权文件,内部失密风险仍然存在。
二是云面临多种终端的访问需求,如PC、笔记本、Pad、智能手机等。如何保证终端身份的合法性与文档存储在设备内的安全性是挑战。
三是云建设依赖于云服务商的服务能力与技术可靠性,但如何保障数据在云端的安全存储,如何保证存储在云端的数据不被运营商“监守自盗”是疑问。
四是法律和合规性风险,因为云端(服务器)所在的地域不同,使用期间可能面临的法律风险也会大不相同。虽然网络无边界,但用于进行云计算业务的服务器毕竟真实的处于各国法律的管辖之下,因此,对于云计算的不当应用,将可能面临极其严重的法律风险和侵权风险。
郑林:引入云计算后,从安全角度考虑,用户的数据中心主要面临以下挑战:数据中心网络设计的扁平化和高速化,逐渐从传统多层数据中心网络向平面网络架构过渡,平面网络架构使用基于数据流、非拦截、最短路径结构来最大限度提升网络性能;相对于传统数据中心,云化的数据中心内部之间的流量将会大大增加;云数据中心内部系统的虚拟化引发的新的安全问题;同时访问数据中心的客户端设备具有移动化趋势。此外,云化的数据中心和高速的Internet出口带宽也可能被黑客利用作为攻击跳板,从而给用户带来新的互联网边界责任风险,这就要求用户对云化的数据中心外发的数据流量也要进行严格的入侵分析和过滤。
现有安全产品以平台为主
《通信世界周刊》:目前在应对这些云计算安全问题方面,业界普遍采用的方法是什么?贵方又是怎么看待的?
卜宪录:赛门铁克既能帮助用户打造自己的私有云,也能帮助用户享受到安全便利的云服务,同时,还可以把一部分产品通过云服务的方式去交付。并将进一步提高云环境的信息安全:在机密信息被存储或共享到云端之前,利用DLP和PGP加密技术对这些机密信息进行自动探测、阻止和加密。同时O3云身份和访问控制的第三层保护,将所有与云相关的安全事件聚合在一起以实现信息管理和合规性,从而为企业提供全面的云审核、取证和法规遵从打下基础。