或许你会问,为什么一排排由金属设备摆在那里,运行的时候还会发烫,且重达数千磅的机器被称之为“云”?其实这种理解方式是站在工程图标的角度来看的,因为数据是通过一种不确定的路径从起始位置到达终端的。从另一方面来看,云是指建立在现代计算能力基础上的随机数据包传输协议。
虽然现在已经没人去考究“云”这个词起源于何处,但这个词已清晰地代表了它是什么意思。Cloud Camp 联合创始人 Reuven Cohen 早前就说过,“云是互联网的一个比喻,也是互联网新的代名词。”但对于那些坚持“安全第一”心态的人来说,这个比喻似乎有很多问题。他们认为互联网是一个危险的地方,不怀好意的人会盗用或破坏数据。尤其是在互联网上存储了私人或企业数据是一个存在潜在危险的,如果没有采取适当的安全监管的话。
私有云 vs. 公有云
私有云是一个企业专用的内部存储系统,通常情况下安全性能更高,但是在快速应用和高可扩展性方面不是特别的灵活,而且在投资和运营方面的成本更高。相比之下,公有云是由第三方建设运营的,为需求方提供云服务。一些比较知名公有云平台如 AWS ,微软 Azure 和 Rackspace,还包括 Google Cloud Platform 和 IBM 的云服务。
比你想象的还要严重的私有云安全问题
就像编辑 Roger Grimes 指出的那样,私有云和公有云都是存在风险的。私有云之所以更安全些是因为他们在企业的严密控制之下,但这里普遍存在的缺点是,不可能所有的公司都能像 Amazon 或 IBM 那样提供高级别的安全措施。甚至连公司的员工都是一个潜藏在暗处的风险,他们可能会做一些恶意行为制造意外事故。
私有云网络在出现故障的情况下,很难做到在地理位置上转移,所以它的很多有价值的数据更存在危险性。另一方面,公共云是由遍布在世界各地的数据中心支持运营的,这样的话在安全和效率方面更有保障。
公有云安全问题仍面临艰巨挑战
企业在面临是否使用公有云这个难题的时候,还是会考虑关于安全的三个特定问题:
- 多租户:公有云用户可能会担心与其他企业尤其是竞争对手共享云平台是一个很敏感的话题,也是许多用户企业高管最关心的问题。其实这些用户应该多做些了解,对公有云要有信心,不管是他们的私人数据还是用户数据,都不会被轻易的泄漏出去。
- 虚拟化:现在各大标题了出现了太多的云,基本上不算什么新鲜话题了,这也是有原因的,因为跨设备的 ID 逐渐成为用户访问、获得系统认证的更灵活的主流发展趋势。
- 所有权:许多公共云供应商在其和用户合作的协议中对所有权问题保持了沉默,实际上,供应商可以尝试一些手段,例如从存储的数据中探索一些盈利模式。
根据实践经验来看,有很多方法来应对这些挑战。例如,美国国家公路交通安全管理局通过尝试使用最新的云安全工具,在不到一个月的时间里,找到了一种提高公有云安全性和访问性的方法。下面我们就来看看有哪些可供选择的公有云安全工具。
- AppRiver —主要是用来查看基于 SaaS 的邮件和网络工具的通讯安全。
- Awareness Technologies —利用基于 SaaS 的 DLP 模型来分析移动和云数据
- Barracuda Web Security Service —提供避开恶意软件的保护,对 URL 进行过滤和管控 App 的功能。
- Bitglass —充当云访问安全代理来保护 App 和移动设备。
- Bitium —为 BYOD 和 BYOA 实现 ID 和访问管理。
- BitSight Technologies —分析安全行为数据,评定云服务商在安全能力方面的等级。
- Centrify —重点用于对跨设备和跨 App 的 ID 进行管理。
- CipherCloud —在业务入口直接操作加密或标记数据。
- Dome9 —测试防火墙规则、IP 地址表,查看不正常网络流量的接口。
- Evident.io —以合作伙伴的关系提高 AWS 安全保障。
- ForgeRock —通过对 ID 接入管理来保护企业、云、社交和移动 App。
- HyTrust —提供访问控制、策略执行、管理程序的硬化。
- IntraLinks —保护关键内容,保证云用户控制数据。
- Kismet —在没有日志和可追溯的数据包的情况下,Kismet 会对云设备进行跟踪。
- Logz.io —用户可以在选用的事件和相关仪表板上创建主动报警功能,以此来收集查看数据趋势和监控安全威胁,包括密码蛮力检测、访问控制和网络访问问题。
- Metasploit —截取一个云 IP 地址进行渗透性测试以确保所有环节都是安全的。
- MyPermissions —一旦有 App 或服务器想要访问加密的私人数据,这款工具就会发出警报信号。
- Nessus —这是一款针对开源软件的漏洞评估工具。
- Nmap (the Network Mapper)—通过扫描网络对网络拥塞和延迟实行渗透性测试。
- Netskope —发现任何云 App 和不利的 IT 行为跑在你的网络上。
- Okta —对所有的云 App 登陆进行管理,包括 Google Apps、Salesforce、Workday、Box、SAP、Oracle 和 Office 365。
- Proofpoint —专注于邮件系统,保护入站和出站数据。
- Qualys —扫描所有的被使用的 WebApp 在 SaaS、IaaS 和 PaaS 工具里的脆弱性。
- SilverSky —为 HIPAA 和 PCI 规则提供邮件监控和网络保护。
- Skyhigh Networks —发掘、分析,最后承担云 App 在防火墙、代理和入口里的安全问题。
- SnoopWall —做出标记,阻止某些访问高风险数据端口,例如摄像头、麦克风、GPS 和 USB。
- WhiteHat Security —模仿威胁,以避免代码漏洞。
- Vaultive —可以对网络上和 App 上的任何数据、内容进行加密。
- Zscaler —监控所有进出的网络流量,保护 iOS 和 Android 设备。
- Firmex —是一个提供基于云计算的虚拟数据室的服务商,总部设在加拿大多伦多。虚拟数据室能够在跨过企业防火墙的情况下安全的进行文件共享,常用于高度机密或复杂的交易,企业融资和采购等流程。
在云计算火热发展的这几年里,安全的重要性并不会被时间消磨掉,可以参考一下福布斯记者 Louis Columbus 给出的数据:
- 在 2015 年,全球范围内花在 IaaS 上的资金预计是 165 亿美元,比 2014 年高出约 33%。
- 估计到 2019 年,云类 App 将占全球移动数据流量的 90%,而 2014 年底这一数据只有 81%。
所以,看了这么多,您对自己的放在公有云上的数据安全有什么想法,可以在下面的评论处分享出来。这是一篇翻译文章,原文: A Guide to Public Cloud Security Tools
评论