RSA 2010:云安全需急迫解决的安全隐患行业资讯

2010-03-05    来源:比特网    编辑:xiaojie
今年的RSA大会上云计算安全成为了绝对的主流,随着云计算被越来越多的企业用户了解,人们对于云背后所产生的安全问题提出众多质疑,在本次大会上将出现许多针对云安全的讨论,

  今年的RSA大会上云计算安全成为了绝对的主流,随着云计算被越来越多的企业用户了解,人们对于“云”背后所产生的安全问题提出众多质疑,在本次大会上将出现许多针对云安全的讨论,相信本次大会将为云计算安全带来全新的理念!

  随着更全面的安全应用程序和数据库技术的迅猛发展,企业现在有了更多的方法来进行实时的身份监控、权限和证书检查。然而,日渐复杂的安全问题依然有增无减,使得其带来的威胁仍然不容忽视。云计算的产生将给互联网带来天翻地覆的变化,企业坚定不移的走上了云计算道路的大趋势将不会受到任何挑战,但数据保护和虚拟环境中的风险管理却让人望而却步,毋庸置疑在云计算的发展道路上,安全问题已经成为了它最大的“绊脚石”。

  隐藏在云计算背后的诸多安全问题

  RSA CONFERENCE 2010大会上,云安全联盟发表了他们全新的调查研究,在这份调查中显示企业在选择网络服务时面临着恶意和意外数据丢失的双重危险。而恶意攻击和来自内部的合作伙伴或最终用户无意的行为所带来的这些漏洞也不尽相同。

  报告中提出最关键领域是应用程序编程接口(API)开发工具最为脆弱。研究人员表示,企业将众多的其他服务捆绑到一个云计算应用程序上,无形中使得“自己暴露在最薄弱的环节”,其中任意一个服务受到损害,将会导致其他所有连接的应用程序遭到攻击。

  该报告指出,其他可能的风险包括恶意攻击或管理员及内部员工的发泄行为,在线恶意攻击和僵尸网络以及帐号被盗的可能。

  云安全联盟的创始人兼安全顾问Jim Reavis表示,“很显然,云服务是企业必须掌握的下一代信息技术。这份报告的目的不仅在于帮助IT企业确定那些至关重要的安全威胁问题,更重要的是有利于企业懂得如何主动保护自己。”

  云安全是转变安全交付的全新方式

  在本次大会上,RSA总裁亚瑟•科维洛先生表示,“有些事情阻碍了云这一愿景的充分实现。简单地说,那就是安全。51%的首席信息官认为安全是云计算最大的顾虑。在当今日益虚拟化和超扩展的企业迈向云的演进中,安全的步伐没有跟上。简而言之,各地的人们必须能够信任云,即使他们不能真正或似乎看到云。”

  科维洛先生指出,将一个虚拟抽象层嵌入到技术堆栈,为业界提供了一个难得的机会实施安全“改装”,能够比我们现有的物理基础架构更安全。科维洛还补充说,“企业可以从以基础架构为中心,转变到以信息为中心的策略,集中力量做最重要的东西:信息及访问权限,而不是一个毫无意义的边界或单纯管道。”

  RSA认为,迈向私有云的旅程有四个清晰的阶段:

  1. 首先,采用虚拟化技术整合非关键基础架构,例如测试和开发系统、低风险应用。它促使企业熟悉虚拟化工具,开始“硬化”虚拟基础架构的过程。

  2. 虚拟化关键业务应用,确保该组织对虚拟环境的合规状态,保持与物理基础架构同等水平的能见度。

  3. 开发内部云,将信息基础架构做成一个公共设施,由完全虚拟化、自动化的数据中心构成,应用负载以策略和服务级别来驱动。

  4. 将基础架构外包给服务提供商。这一阶段,需要仔细挑选,挑选依据是他们在“执行策略、证明合规、管理多租约”方面展示出来的能力。

  科维络总结说:“如果我们从一开始就将安全内建到虚拟基础架构,我们不仅可以获得能见度和可管理性,而且可以获得风险决策点,控制无处不在。总之,云计算将彻底转变我们交付安全的方式。同时,信息安全将使云计算充分利用互联网,彻底转变现有IT模式。这意味着,我们能够为各种规模的组织提供新一波的效率、灵活性和协同性。”

  托管提供商和安全专家联手应对云计算安全挑战

  随着云计算应用的增长,托管提供商将与安全厂商签署协议向用户提供“security-as-a-service”(安全即服务)的选择。对于这样的服务,业内人士也提出了质疑“企业IT经理会把这种新颖的安全方式结合到云计算环境中吗?”

  在本次大会上,上述的问题似乎得到了答案:IT经理对于这样的服务有期待又害怕,因为他们始终在试图解决风险因素和法规遵从的问题。

  安全研究公司TheInfoPro的总经理Bill Trussell说,相当多的机构正在使用他们认为是云计算服务的东西。这家研究公司刚刚发表了其半年度的对北美大型企业和中型企业的信息安全专业人员进行的调查。但是,当TheInfoPro询问受访者他们是否在云计算环境中使用基于云计算的安全服务的问题时,不到15%的受访者表示很可能使用这种服务。

  Trussell说,当问到机构是否会向云计算提供商扩展用户接入与配置或者身份识别等功能的问题时,受访者表示这种情况并不太常见。企业安全人员对于那些基本上不太熟悉的东西、不在他们的现场的东西、不在他们直接控制之下的东西、甚至在他们使用的云计算提供商直接控制下的东西仍然感到很紧张,因为安全服务是由拥有安全技术专长的第三方厂商控制的。不过,这些新的安全即服务计划将很快应用到云计算。

  总结

      毋庸置疑,RSA2010之后云计算安全将巩固它的地位成为信息安全领域新的发展趋势。

1
3