扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:IT168 来源:IT168 2010年6月30日
关键字: 云计算
摘要
云计算为组织提供兼具可扩展性和成本效益的灵活的 IT新选择,但要实现云服务的全部优势,企业必须信任这些新服务的安全、策略和流程。企业要扩展外围的 IT 安全,必须首先建立一个可信任的云计算前端:提供安全保证、管理、控制以及可靠的性能。
组织考虑采用云技术 - 但他们能够信任云吗?
越来越多的组织转向云计算。据分析机构评估,云计算市场规模可达 420 亿美元[1],至 2013 年,仅软件即服务 (SaaS)市场即可增长至 160 亿美元[2]。某些组织是受到云计算显著优势的吸引而转向云计算,而某些组织是发现其竞争对手通过云计算赢得了优势,进而迫于压力也开始采用云计算。对于很多组织而言,这两种力量都起到了一定作用。
几乎每个 CIO 的解决方案候选列表中都包括一个云计算选择,因为云计算能使企业提高 IT 的质量和灵活性,而 IT正是其业务赖以运行的关键。云应用程序、平台和基础架构服务可以扩展数据中心的功能,同时有效利用资源,降低 IT 部门的总拥有成本。云服务采用"即用即付"模式,使组织能够从小规模开始快速扩展,既不牺牲服务质量,也不要求在基础架构上投入大量初始投资。
云计算是现今 IT 最重要的趋势,而且可能在未来数年继续保持强劲态势。然而,这个行业仍处于发展初期:平台不完整,安全措施尚未成型。IT 管理者不能忽略云技术 - 但尚不能充分信任它。
信任第一
尽管企业认可云计算的潜在优势,但他们不愿意将所有关键处理或数据迁移到云中。并不是说云技术的固有安全性优于或逊于企业现有环境,关键在于前者采用一种截然不同的方式,特别是对第三方的依赖。
在接受云计算之前,组织需要求服务供应商确保其关键资产的安全。但企业应该知道,云安全并不是一种简单的"全部肯定或全部否定"的选择:他们可能必须在开放性和安全性、控制与可用性、灵活性与风险管理、过程与实施之间作出权衡。
在依赖 SaaS 和云服务来提供计算能力、存储和关键业务应用程序之前,组织需要明白这一点:自己的策略仍适用于云中的资源,并且能够审核云策略的实施。信任还要求服务等级协议 (SLA) 保证可用性、可靠性和业务连续性。而且组织应该要求云供应商解决新出现的数据泄漏问题,包括因多租用和云运营商的访问而导致的此类问题。当企业从仅使用一种云服务迁移至使用不同供应商提供的多种云服务时,他们必须处理与多个运营商合作而产生的所有问题,而每个运营商具有不同的基础架构、运营策略
和安全技巧。在如此复杂的信任需求的推动下,产生了对可信任云计算前端的需求。
可信任的前端:概述
可信任的云计算前端是一种安全和信任中介服务,它面向多种云服务提供单一便利的入口,鼓励管理员、员工和业务合作伙伴采用云应用程序与流程。它可以改进组织原有的安全,同时使安全的实现比以往更加简单。对于企业而言,可信任的前端就是一个符合开放标准的 API。对于云供应商而言,它支持多种接口,有助于业务合作伙伴的集成。而双方都无需了解:可信任的前端如何避免企业及其云供应商摆脱实施强大安全措施而导致的高度复杂性及高昂成本,以确保云用户、应用程序和数据的安全。
对于多数组织,选择经认可的可靠服务供应商(或"信任供应商")提供安全与信任中介服务是为云创建安全前端的最佳方式。在选择可信任前端供应商时,组织应评估他们是否已妥善解决保证、管理、控制和可靠性能的关键问题,并确立一个度量标准,以帮助确保组织在上述领域中获得相应的投资回报。
安全保证决定门的开启
信任供应商应通过严格的用户认证和授权来保证安全,并额外考虑高优先级或高风险用户的安全以及远程访问使用案例的挑战。在所有情况下,供应商都必须证明自己能够根据企业的访问策略拒绝未授权用户的访问。尽管可信任的前端主要依赖现有流程和资源,但它可以通过动态插入例如多因素认证等其他安全层来提高安全性。
组织应该考虑可信任前端的供应商是否提供查核例如笔记本和智能手机等用户设备的信任度的能力。基于恶意软件的威胁已经影响消费者多年,最近的公司攻击已经表明,终端保护不会保护企业用户设备免受外部攻击。信任供应商应该保护和监视用户设备,并评估是否许可他们访问机密的云资源。
由于可信任的前端能为云供应商提供安全最佳实践,所以行业可以形成一致的类似于信用卡行业的 PCI 标准的云安全标准。然后供应商可以根据这些标准要求 SaaS 和平台即服务供应商取得认证。与此同时,信任供应商可以独立提供安全认证服务和漏洞评估服务。
管理使企业重掌控制权
尽管云应用程序拥有户内应用程序所不具备的优势,它们也可能由于支配和管理用户、应用程序和业务流程而打乱组织的模式。组织应该对任何 SaaS 或云服务供应商的安全管理过程和功能进行评估,确定它们是否充足且成熟,以及是否与组织自有的信息安全管理实践保持一致。
对于多数企业而言,可信任的前端会与公司目录和元存储库集成起来,支持在外围形成一致的管理、认证与授权。其他企业可能会选择一种更为简单的策略实施方法,即依赖于自动化用户配置和取消配置。
对于传统的身份与访问管理平台,可信任的云计算前端类似于访问请求交换机/路由器,同时发挥着外部策略实施代理的作用。作为身份中介和授权代理,在利用组织内部例如企业域控制器等信任源或例如 Google 或 PayPal 等外部身份供应商服务的 bootstrap 凭证和认证时,可信任前端应避免发生凭证泄漏。因此信任供应商应遵守例如SAML、OPENID、OAUTH 和 XACML 等标准,以避免日后发生锁定。
控制是合规性的关键
信任供应商不仅必须提供保证、管理和可靠性能,还必须全面跟踪、审核和报告他们提供这些服务的效率。对于每个单一访问事件,供应商应该能够监视并报告访问者、访问内容、访问方式、访问时间和访问位置等信息。
可信任的前端简化审核跟踪和合规性报告,提供整合访问事件日志的绝佳机会。审核者更容易检查跨所有云资源和所有用户的法律、法规和规则(例如 SOX、HIPAA、PCIDSS)的合规性。
可靠性能推动业务连续性
组织必须对其信任供应商充满信心,相信他们能够提供完全符合 SLA 的云资源访问。组织还必须调查信任供应商是否符合连接、冗余、故障切换、灾难恢复和防范 DDoS 攻击等方面的行业最佳实践。
云供应商合作伙伴和组织需要讨论并商定 SLA 可靠性标准以及根据所有 SLA 进行监视和报告的流程。可信任供应商服务可跨企业所依赖的所有云服务提供整合的 SLA 监视与报告。这可以提高可见性,降低管理多个独立云的操作复杂性。
结论:行业领先者努力勾画信任的蓝图
确保跨多用户及云资源的严密安全性与灵活性是一个前所未有的挑战,多数组织都不具备这种挑战所要求的专门技能,而且也没有时间去培养这种技能。因此一种新类型的服务供应商应运而生来应对这种挑战,他们创建可信任前端,以新的方式重新集成最优质的应用程序、数据和用户,使组织不仅能够保持按需模型的灵活性,也能够将访问策略和安全控制扩展到云中。通过选择使用这样的服务供应商,组织可以引入最佳实践,在复杂 IT 环境内实现可信赖的安全性。
1. "互联网行业已经迈入云时代 - 势如破竹",2009 年 3 月 26 日《华尔街日报》报道。
2. "Gartner 认为 2009 年全球 SaaS 收入可增长 22%",2009 年 5 月 7 日 Gartner 新闻中心新闻报道。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。