隨著計算堆棧向下移動�,客戶控制公共云計算服務(wù)的數(shù)量,逐漸增加�,軟件即服務(wù)(SaaS)很少甚至為零,基礎(chǔ)設(shè)施即服務(wù)(IaaS)占絕大部分����。云安全責(zé)任也一樣:軟件即服務(wù)以及保證平臺和基礎(chǔ)設(shè)施安全的責(zé)任顯然落在了提供商身上。
但是隨著堆棧的深入�����,事情變得更糟�����。談到IaaS�����,提供商和用戶之間的安全責(zé)任沒有明確的界線��。定義界線的責(zé)任落在客戶身上����。
推廣最佳實踐和提高云安全培訓(xùn)的組織——云安全聯(lián)盟的執(zhí)行董事Jim Reavis表示:“從治理的視角、控制的視角��、管理的視角來看���,讓云租戶或客戶明白這是一個共同的責(zé)任很重要��?!?br>
識別安全缺口 理解安全規(guī)定
為了強(qiáng)調(diào)共同的安全責(zé)任��,舉一個事實���,即由于備受關(guān)注的IaaS問題��,如2012年6月的亞馬遜中斷事件�����,不同的組織遭受了不同的后果�����。Reavis介紹:“當(dāng)數(shù)據(jù)脫機(jī)時�,一些組織幾乎倒閉了,而其它組織卻沒有出現(xiàn)任何停工期����。這表明客戶使數(shù)據(jù)處于他們的控制之中,也同時控制著他們的命運(yùn)����。”
總部位于弗吉尼亞州的萊斯頓ScienceLogicIT的業(yè)務(wù)管理軟件的提供商��、首席技術(shù)官Antonio Piraino表示���,要實施適當(dāng)?shù)目刂?,云租戶必須明白哪些地方存在安全漏洞��,“你必須知道你在買什么。一些人比其他人更關(guān)注安全����?��!?br>
加州洛杉磯的云計算風(fēng)險緩解的顧問兼講師Thomas Trappler表示:“與云中大多數(shù)事物一樣�����,安全也隨供應(yīng)商的不同而不一樣�����,”例如��,亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)提供“各式各樣的選擇�����,”他說���,“這不只是任何一種AWS服務(wù)。所以即使是在AWS服務(wù)范圍內(nèi)�����,客戶負(fù)責(zé)的內(nèi)容不同,你向亞馬遜付款買東西�����,承擔(dān)的責(zé)任也會有所差異��?�!?br>
最終���,客戶得到他們所想要的�,Piraino說:“如果你為云服務(wù)買單���,那么你要為額外的安全和額外的正常運(yùn)行時間和災(zāi)難恢復(fù)支付額外的費(fèi)用���。”
由于(客戶從IaaS提供商采購的)計算堆棧的不同部分��,安全責(zé)任的劃分進(jìn)一步混淆���。Piraino說:“我們正看到IaaS和PaaS之間聯(lián)系更加緊密����;從根本上來講,(IaaS是)一種原始的計算基礎(chǔ)設(shè)施�,”——低于操作系統(tǒng)(OS),他解釋說�����,“最初�����,客戶負(fù)責(zé)配置(虛擬機(jī))���、操作系統(tǒng)、安裝防火墻這類事情���。但是除了原始的虛擬機(jī)��,你可以購買IaaS�����?�?赡軙綆б粋€操作系統(tǒng)或者是具有一些應(yīng)用的數(shù)據(jù)庫���。你買的越多�,IaaS提供商的責(zé)任就越大��?��!?br>
再來看AWS�����。例如���,“當(dāng)涉及到對AWS部署具有惡意企圖的具體問題時,通常的經(jīng)驗法則是����,堆棧越高,負(fù)責(zé)工作負(fù)載或數(shù)據(jù)安全責(zé)任的AWS的能力越低��,”他解釋說����,“很簡單����,在設(shè)施和物理基礎(chǔ)設(shè)施層���,采用AWS的能力和興趣來提供物理安全是最佳的做法�,因為其項目大��,但成本很低����?��!?br>
Piraino補(bǔ)充說:“在網(wǎng)絡(luò)層和虛擬化層�,就沒那么簡單”�����。對于AWS數(shù)據(jù)中心的數(shù)據(jù)傳輸——區(qū)域與亞馬遜彈性云計算(EC2)或彈性塊存儲(EBS)技術(shù)之間——由AWS負(fù)責(zé)��。
Piraino說:“同樣����,AWS的工具集Xen系統(tǒng)管理程序負(fù)責(zé)它的基礎(chǔ)設(shè)施即服務(wù)——使云產(chǎn)品中不可缺少的一部分轉(zhuǎn)讓所有權(quán)����,客戶沒有發(fā)言權(quán)��,從而實現(xiàn)真正意義上的由AWS負(fù)責(zé)”���。
培養(yǎng)正確的公共云安全心態(tài)
組織將應(yīng)用程序轉(zhuǎn)移到公共云時���,模式發(fā)生了轉(zhuǎn)變,Trappler說:“心態(tài)不同���。你思考的方式也必須有所不同�。這似乎是顯而易見的���,但這很重要��。大家在說���,‘我們從我們所習(xí)慣的——技術(shù)管理的解決方案——再到有人為我們做好的云合同的管理解決方案。我們怎么知道他們所做的就是正確的呢�����?”
答案是:“總是恰到好處地確認(rèn)并且按照合同履行義務(wù)(提供商),你就能明白他們應(yīng)該關(guān)注什么�����,”Trappler說�。為此,了解提供商的基礎(chǔ)設(shè)施哪些部分被注冊和/或?qū)徲?����。他說:“可能不是整個基礎(chǔ)設(shè)施���。中間通常有多個數(shù)據(jù)中心和點�?���!?br>
“合同就是針對提供商責(zé)任與顧客責(zé)任的界線問題��,達(dá)成的共識����,”他說,“你需要一個合同�����,來建立關(guān)系條款,對誰做什么達(dá)成共識的條款�����。然后要有客戶方的供應(yīng)商管理來維持這種關(guān)系�。”
來源:CIO時代網(wǎng)
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品����,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力��。凡轉(zhuǎn)載文章���,不代表本網(wǎng)觀點和立場����。版權(quán)事宜請聯(lián)系:010-65363056����。
延伸閱讀
