与安全相关的问题继续成为财富 500 强组织采用云的障碍。与云计算安全相关的主要顾虑包括帐户信息劫持、数据完整性破坏和数据盗窃等。
这些担忧因最近袭击一些重要组织(例如摩根大通、家得宝和塔吉特等)的数据泄露事件而进一步加剧。还有更多的例子增加了人们对公共云环境中数据丢失的恐惧。事实上,除了他们自己的现场数据中心之外,大型组织天生就对任何环境的数据完整性持怀疑态度,这些数据中心促进了强大的物理控制并建立了牢固的信任纽带。
然而,随着基于软件技术的安全解决方案的出现,就业务关键数据的存储而言,对安全性的整体认识发生了相当大的转变。公共云可以实施坚不可摧的安全措施来保护数据。软件解决方案的广泛采用缓慢而稳定地导致了安全相关范式的转变,该范式侧重于本地数据中心提供的物理安全性。
专注于 IT 和安全的组织必须习惯这样一个事实,即他们将无法维持对云物理基础设施的直接控制。谨慎的做法是将担心其应用程序和其他数字资产安全性的任务留在云环境中。
数据的当代状态受到数百万访问者之间广泛分布的影响,这些访问者通过广泛的云服务模型,包括 IaaS、SaaS 和 PaaS,以及私有云、公共云和混合云。数据安全面临的挑战可归因于数据从以物理边界为特征的传统安全本地基础设施转移到以逻辑边界为标志的高度广泛的云环境。
数据驱动云控制的意义
对数据中心层实施强大的安全控制是云服务提供商的首要任务。在软件与可见性工具、基于主机的安全机制、日志记录解决方案和常见部署网络的安全控制的逻辑集成方面取得了显着进步。
尽管有这些最佳实践,但重要的安全漏洞仍然是云服务提供商关注的问题。面向数据的安全控制继续躲避专注于保护数据的专家,无论数据位于何处。云中的安全措施必须独立于底层云基础设施,并应采用面向数据的方法。
云计算环境的安全策略需要设计为使客户能够直接控制,并且安全措施应该独立于数据位置。考虑到数量呈指数级增长,寄希望于边界和网络边界几乎没有任何意义。
因此,大量企业客户期待通过划分攻击面来减轻安全风险也就不足为奇了,这样即使是在管理程序上运行的虚拟机的内存也能得到无缝保护。
建立新的最佳实践
这种共享安全模型可能会对组织的关键任务数据造成严重破坏,并迫使公司在几小时内停业,正如最近的代码空间攻击所见证的那样。越来越需要建立以数据为重点的安全措施,以使企业免于承担保护在共享安全环境中运行的应用程序、数据和工作负载的负担。
分担安全负担
由于云提供商共享责任模型的存在,云计算环境中安全的复杂性进一步复杂化。该模型期望云用户关注他们的应用程序、操作系统、VM 以及与这些相关的工作负载的安全性。云服务提供商在共享安全模型中的责任仅限于保护物理基础设施,而不是超出管理程序的级别。
这种情况需要开发新的最佳实践来设计以数据为中心的安全模型,该模型可以提供前面提到的功能。云客户应该能够通过启用隔离的虚拟化层独立于云服务提供商运营,该虚拟化层能够将数据和应用程序与其他租户和云服务提供商分开。
新的信任边界必须与加密相关联,以确保数据始终伴随着控制和安全策略。这也避免了客户遵守云服务提供商设计的安全措施的需要。在执行严格的安全措施时,不得妨碍应用程序的性能。这需要使用高级加密分段和提供卓越安全性的高端密钥管理系统。同样,安全措施不应成为应用程序部署的障碍。