RSA:云安全问题依然困扰企业客户

2013年的RSA信息安全大会再一次谈到了云计算的安全问题。在云计算真正落地之前，其安全性必须首先获得企业客户的认可。但在目前看来，这个障 碍并不容易扫除。云计算服务商和云安全联盟（Cloud Security Alliance——行业协会）尽了最大的努力却收效甚微，云安全问题依然让IT主管们头疼。

在本届大会云安全分会场，IT安全专家抱 怨云计算服务商缺乏透明度，致使客户面对云服务时踟蹰不前。云服务的不透明性主要体现在服务水平协议、管理功能以及安全责任这些领域。与会者指出，当前云 安全没有权威认证，云计算服务商又不允许企业客户去实地考察接触机器，IT主管不知从何处入手。

对于云服务的不透明性，举个具体的例 子，云计算服务软件漏洞对客户不透明，这直接阻碍了客户对漏洞相关运行风险的管理。会上，Zynag公司前CSO Nils Pulhman提醒企业客户：面对安全漏洞，云计算服务商们首先考虑的是降低对自己的影响，其次才会考虑客户，所以客户必须建立对云计算服务的控制。

Nils Pulhman建议IT高管严格考察云计算服务商。“像警察一样去调查，”他说。“摸清服务商是否成熟。”——根据他的经验，尤其是初创公司，十有八九被盘问击溃。

在透明度问题上，专家的意见是一致的。 vScaler云计算业务副总裁Patrick Foxhoven补充说：“你必须对服务商提出透明度的要求，没有足够透明度，你不可能进行审计。”

但很多与会者指出，单凭一个企业客户的力量，不足以挑战强大的云计算服务商一贯的不开放的安全策略。

还有一位参会者提出了问题：如果想评估一个SaaS服务商，它运行在另一个PaaS服务商的平台上，而且又是托管在第三个云计算基础设施服务商处——“这是否意味着需要评估三次？”

Foxhover把这个问题搁置一边，而是说起作为一个服务商，他收到过大量与安全相关的调查问卷，这些都来自潜在客户，其中很多问题并不适用云计算实现安全。

然后他回到刚才的问题，仅说到答案没那么简单。最后，在服务商的选择上，他建议IT高管多与其他客户交谈，针对一个特定的服务商了解他们的经验。“这是我们今天所面临的不幸的现实。”Foxhoven总结说。