云时代的到来虽然为企业信息安全水平的提高提供了更为有利的条件,但并不意味着云计算就没有给企业安全带来挑战。事实上,云计算时代,信息安全面临着一些新的威胁,其中最为突出的就是虚拟化
云计算是IT 产业的大趋势,这一点已经成为人们的共识。不过,要让用户现在就向云世界迁移还面临相当多的问题,其中对安全方面的担心是云计算落地的最大阻力之一。那么,我们应该如何看待云计算对信息安全的挑战,如何着手保证云计算的安全呢?
“云”化安全产品更可靠
“我认为,云计算时代的到来有助于改善信息安全的状况, 更利于企业保证信息的安全。” 赛门铁克首席信息安全技术顾问林育民说。
林育民认为,在云时代,数据和应用程序都保存在“ 云” 端, 由云服务供应商或内部私有云管理部门提供技术支持,这种集中管控对信息的安全是有利的。内部私有云比多个业务部门自行运维系统,来得更安全、经济且有效率;此外,云服务提供商往往比大多数企业自己更有能力做好企业信息安全的保障工作。这是因为云服务商更有资金实力去请有足够经验的安全人员,来提供7×24 小时的安全保护;而且由云服务商提供安全服务更经济。另外,云服务商为展现自身的信息安全管理能力,大多主动遵循相关规范(如ISO 270001、SAS 70 Type2 等) 并积极通过国际标准组织认可的独立第三方认证,且有独立第三方对云服务商进行审计和监管,这客观上也促进了云服务提供商改进自己的安全及服务水平。
“不管是技术实力还是资金实力,云服务商的云环境其安全水平都要好于企业自己的IT 环境;而且云服务商业务持续增长与永续经营中重要的关键就是信任二字。”林育民说。
当然,用户对数据安全和隐私方面的担心也并不是多余的。要消除用户的担心,首先是云服务商要提升自己的品牌信任度,进而提升用户的信心,让用户愿意将信息交付给第三方。
林育民解释说,已有许多全球500 强公司开始采用各类SaaS 云服务,因为这些云服务商已建立完善的安全制度及品牌形象,取得了用户信任。比如,赛门铁克的CRM 就选用了Saleforce.com 公司的云服务。在中国市场,云服务提供商仍在完善云环境的安全防护与建立可信的品牌形象,中国用户还不太放心将自己的敏感信息保存在第三方,所以国内目前仍着重于私有云的建设;但随着安全制度与法规逐步的完善、安全技术的进步,用户对公有云服务的疑虑将逐渐降低,未来公有云服务将在国内逐步兴起。
另外,安全产品的“云”化也会提升安全产品的功能。根据赛门铁克的统计,2009 年新发现的恶意代码中,有57% 仅出现在单一计算机中。这意味着传统被动式病毒签名扫描已无法有效应对新兴的安全威胁;而近年来新提出的主动式防御概念,对于采用社交工程技术的欺诈软件也无法有效应对。随着云计算技术的出现,安全防御不只从被动转为主动,更是从主动转为预测式防御,安全防护厂商不需要分析恶意代码样本即可预测其是否可能为恶意代码,大幅缩短了用户的防护空窗。此外,由于云安全服务厂商通过云计算技术对流量做实时分析,可提供前所未有的安全防护能力。以赛门铁克云端信息安全服务为例,该服务可对用户做出100% 防护已知与未知的承诺,若是违反服务水平协议,将对用户做出赔偿。
应对虚拟化挑战
云时代的到来虽然为企业信息安全水平的提高提供了更为有利的条件,但并不意味着云计算就没有给企业安全带来挑战。事实上,云计算时代,信息安全面临着一些新的威胁,其中最为突出的就是虚拟化。
据林育民介绍,作为云计算基础的虚拟化的确给安全带来很大的挑战:因为安全厂商传统的产品都是针对物理服务器,可是到了虚拟化环境中,很多状况发生了改变。
