科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全云端安全让我们信任云计算

云端安全让我们信任云计算

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

 最近,我坐下来与Qualys主席和首席执行官Philippe Courtot先生就云计算问题进行了沟通。作为Qualys公司的首席执行官和云安全联盟的创始成员,菲利普(Philippe)不但了解云计算的潜力也了解实施工作带来的挑战。随着全球数以千计的客户依靠Qualys公司的按需IT安全风险和法规遵守管理解决方案,Qualys公司站在了IT转向云端的最前沿。以下是与菲利普的对话。

来源:比特网 2010年11月14日

关键字: Web安全 云安全 云计算

  • 评论
  • 分享微博
  • 分享邮件

  最近,我坐下来与Qualys主席和首席执行官Philippe Courtot先生就云计算问题进行了沟通。作为Qualys公司的首席执行官和云安全联盟的创始成员,菲利普(Philippe)不但了解云计算的潜力也了解实施工作带来的挑战。随着全球数以千计的客户依靠Qualys公司的按需IT安全风险和法规遵守管理解决方案,Qualys公司站在了IT转向云端的最前沿。以下是与菲利普的对话。

  Wael:最近很多人对云计算很感兴趣。您对这怎么看,为什么Qualys看好云计算?

  菲利普:今天,云计算凭借各种供应商提供更高的服务水平和提供给关键业务应用的平台,已经在企业之间获得了巨大的动力。云计算的概念很简单,这意味着大量的计算资源,包括硬件、关键业务数据和应用,驻留在企业以外的地方,“在云端”,可以很容易地通过一个网页浏览器访问。这提供了很多好处,从较低的硬件、软件和服务资本开支,到节约电费成本,以使员工广泛地通过多种设备从远程获得应用。

  在Qualys,我们是云计算的早期采用者,我们开创了软件即服务(SaaS)模式为企业提供高度可扩展的IT安全和法规遵从解决方案。在过去的几年里,SaaS模式已经被证明是针对复杂和分散的IT应用正确的发布机制,因为它简化了对客户部署的复杂性,提供了前所未有的安全性和可扩展性功能,这对于任何其他基于企业级软件又没有大量额外费用来支付现场部署和日常软硬件维护的解决方案,是非常难以达成的。

  Wael:云计算的好处是多方面的。然而,在仓促进入云端前,是否有什么地方企业应谨慎对待,以确保他们做的正确吗?

  菲利普:随着在云中存储数据的公司越来越多,信息安全问题成为大多数的IT专业人士的焦点。对存储在第三方服务器的关键业务数据的构想,如果没有适当的规划和执行,多“住户”的访问可能充满危险。事实上,数据安全是考虑采用云基础设施机构的主要关注问题之一。

  Wael:在移动到云端前,这些组织应该做什么来解决这些安全问题?

  菲利普:一个组织必须评估特定的安全风险,企业以外的存储敏感数据的需要。数据存储在第三方云服务将绕过物理、逻辑和人事机构的内部控制的IT团队,这意味着它对需求透明度是至关重要的,这来自云供应商的自信,一切预防措施正保障云中数据。

  关于制定的安全政策问题必须询问,包括数据分类、身份访问、隐私、数据存储在哪里、以及是谁管理数据等方面。此外,服务水平协议(SLA)比以往任何时候都更加重要,来确保数据是被保障的,以及服务和控制过程按预想运行。IT专业人员必须相信他们的云厂商将满足该组织的严格安全要求,并在出现安全漏洞的时候,能够提供元数据和在庭审时需要的日志。这一点在云环境中尤为重要,云供应商需要准备证明这些功能,并提供所需的审计,比如SAS70,并进行备份。

  Wael:为什么云计算需要关注数据的位置?

  菲利普:当移交数据给云供应商,一个组织可能不知道它在哪里举办,甚至不知道云服务器在哪个国家。数据的位置要占合约协议的一部分,云供应商将承诺遵守客户总部所在国的当地的隐私要求。数据的位置可以产生重大的法律问题。在一些部门,如英国的金融部门,遵守严格的规章制度,将数据存储在英国是至关重要的。

  Wael:谁最终负责遵守?

  菲利普:一个组织仍然最终负责自己数据的安全性和完整性,即使它是由云提供商持有。服务供应商传统上受到外部审计和安全认证。云供应商不能或不愿意允许其物理或网络安全审计等措施应以禁止。重要的是,数据在云中放置不违反国际法规遵从要求,例如美国政府的HIPAA或萨班斯法案,欧盟数据保护指令,或信用卡行业的PCI DSS。事实上,在英国,PCI DSS标准要求云计算供应商必须符合PCI DSS,以确保该商人可以符合资格。

  另一个要考虑的问题是,数据的优先次序:哪些数据应该就地保存,哪些应该数据将其放置在云端,因为数据放置在云端一个共享环境中通常会与另一组织的数据并存。关键是找出,云供应商对存储中的数据隔离在做些什么。云供应商也应提供证据证明加密方案已到位并进行测试。

  Wael:在接洽一个基础设施即服务(IAAS)的云计算提供商前,什么因素或考虑,会使你建议组织认真审视呢?

  菲利普:数据的连续性和可用性对组织是必须的,重要的是用户可以确信,它的云提供商提供了可用性和业务连续性保证。还应有一个“退出”条款,这意味着如果云提供商已经停业或接到收购,该组织可以轻松地清除其数据。

  云供应商长期的生存能力是值得探讨的,一个组织应如何将其数据恢复,供应商是应该收购还是接管,这也是值得探讨的。随云厂商越来越多的进入市场,数据也应该提供允许很容易被复制和转移到其他服务提供商的格式。

  为未来的安全考虑,所有组成部分的应急计划,对数据成功的移动到云端,以确保安宁,是至关重要的。有些企业采取一种混合的云环境,这种云环境包括内部和基于云的服务。这使得他们可以决定哪些数据应该放置在云之下,以及哪些敏感的数据,保存在企业的墙内。只要他们对云安全有信心,他们可以将更多的数据移到云端来获得好处。

  Wael:菲利普,很高兴与您交谈。最后关于云计算还有什么要说的?

  菲利普:是的,当然。云计算的日益普及已经使越来越多的云供应商进入市场。这样权力就转移给客户,提供给他们更多的选择和灵活性。云模型的优点之一是它从遗留的基础设施桎梏中解放了一个组织。如果另一个云供应商为一个组织提供了更具吸引力的选择,对客户而言,应该比较容易把数据迁移到新的供应商。

  但是,关键要记住,当和一个新的云供应商签订合同时,虽然一个组织可以从物理上删除其直接控制的数据,它不会放弃确保数据仍然安全的责任。因此,要重申“在云端我们相信”——这是我们的责任,当移动到云端时,以确保各项安全防范措施到位以保护我们的数据。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章