趋势科技一直在说服许多数据中心安全人员和基础设施即服务(IaaS)供应商了解云安全的成长态势。让我印象最深的是他们通常由这一感觉(错觉),认为IaaS供应商会好好照料公共云的安全。
IaaS供应商在基础安全方面(物理安全防护,外围防火墙, 负载平衡,可能还有网络 IDS/IPS,等等)做的不错,并且在这个游戏里,他们得下一些本钱。虽然偶尔也有IaaS 卖家努力采用更高级别的安全策略使自己脱颖而出,然而许多卖家(即使不是大多数)还是更专注于提供有竞争力的价格和适应性所以IaaS的概念承诺的是与本地数据中心相关的安全。
虽然IaaS供应商努力营造一个安全的环境,防护的责任和义务却在于使用这项服务的企业。在这个方面,Amazon网络服务的客户条款里写的很清楚:
7.2. 安全。我们努力保护您的内容,但是,鉴于因特网的性质,无法保证我们一定能成功做到。因此,不限于上述条款4.3 和以下的11.5,您同意承担您的内容和应用软件的安全,保护和备份的全部责任。
你可以访问你最喜欢的IaaS供应商的网站,看看他们的服务或服务程度协议的条款,通常会看到他们承担的责任不会大于你可能用到的计算环境里的物理安全,安全人事和基本的外围安全。这很可能是因为许多IaaS供应商都在爱好诉讼的美国,这里的人们以喜欢控告别人著称(IDC的Frank Gens在最近的一次IDC线上讨论上提到在在最近的一个开庭期内,75%的云计算服务市场都在美国)。IaaS供应商如果想继续留在这个行业里就必须明确限定他们的法律责任,这就意味着维护安全的重担落到了云计算客户身上(如,企业),要他们来保证数据和应用软件的安全。
我和一位企业律师谈到过这个问题(请注意:我只是一个门外汉,这不是专业的法律建议,在做任何事的任何决定之前请咨询专业法律顾问),他的意思是如果有人因为数据攻破被起诉,那么原告要找的是最有钱的哪一方。我向一个律师求证试图找到最简练有力的印证来明晰这一点,却一无所获。不过试试google一下“律师告的是有钱的那一个”你就会明白我在说什么了。在云计算领域,最有钱的通常是IaaS客户而非IaaS供应商。
目前为止我们还没看到IaaS相关的数据攻破。出现过分布式拒绝服务(DDoS)和数据丢失,但没有出现过敏感数据的攻破。鉴于云计算相当有说服力的经济性和适应性,它将被引入应用软件,这些应用软件最终将包括敏感数据,因此敏感数据的攻破也只是一个时间问题。当因为数据攻破而惹祸上身时,找律师去敲企业的门,而不是IaaS数据中心的门。
企业依靠IaaS供应商安全或安全管理服务供应商(MSSPs)来卸下自己一方维护安全的责任,但如果出了错,数据的拥有者却是要对此负责任的人。
当在云计算里使用涉及安全信息的应用软件时你怎样降低风险?当考虑在云计算哪里使用这些应用程序时,给你的应用软件开发人员的“安全”答案可以是“是的,在公共云(IaaS)里使用,只要你采取了以下步骤……”,而不是条件反射的一个“不”。这些“是的步骤”涉及到在IaaS外围里面保护个人主机。这项保护包括基于主机的技术,即提供为IDP/IDS提供深度包检测和防火墙以及文件完整性检查和log侦测(像OSSEC)的这些功能。现在让我高调的推广一下!试试我们新发布的Trend Micro Deep Security 7.0吧,它会解决许多云安全和合规问题。