云计算供应商们既然不允许对他们的网络进行审查,那么,他们也很难证明其网络的安全性。
一位云安全专家告诉安全标准大会的与会者们说,找到一种方法来验证云计算提供商的内部网络安全性是非常重要,但又是相当不容易的。
客户需要知道:数据是如何被保护的、这些数据的存放地点、是否可以转移到另一家供应商(如果客户根据衡量供应商之间安全保密措施之后需要进行转移的话)。IT风险管理的咨询公司麦克森公司副总裁文森特.坎皮泰利(Vincent Campitelli)表示。
云计算供应商根本就没有资源可以方便的让每一位客户检查自己的网络,甚而定期的进行审查,他说。“这是一种不可持续的模式。”
他说,大家正在广泛的探讨关于供应商网络化的新模式,包括建立一个已经被核实为安全的“uber 云”服务供应商,提供相应的基础设施和一系列的云供应商服务标准,以验证云计算提供商的服务是否符合其标准。
这些标准虽然尚未制定,且必须满足客户的要求,但云安全联盟可以从他们当前的工作中总结出相关的标准。
坎皮泰利说,传统的第三方物理网络评估将无法在云环境中工作,因为他们没有资格评审评估云架构。“他们需要的相关的工具和新的技能,”他补充说。
可以实现的升级服务目标是:使客户能够管理安全配置、审计日志、并进行自我管理服务。客户还将能够进行防止数据泄漏的预防措施、申请和执行漏洞修补服务、以及申请定购的相关的服务分析,他说。
但即使这样,也不会很理想。“你怎么知道这些工具具体是怎么工作的,真的如同云服务提供商描述的那样吗?”他问道。“供应商必须赢得他们的客户对于这些工具的充分信任。”
另一位发言者在会上表示,对云安全有助于形成良好决策所需的信息通常不是由云计算服务供应商提供的。“有时候,可能你想要的数据是得不到的,就算可以得到,也不会提供给你。” 一家为政府和私营部门提供咨询服务的非营利咨询,美国网际网络影响部门(US Cyber Consequences Unit)总监沃伦阿克塞尔罗德(Warren Axelrod)说。
客户想知道的并非什么新的风险问题,他们只是处于一个新的环境,因而很难对其加以评估。阿克塞尔罗德说。
这给企业IT安全部门的专业人士们批准使用公共云服务带来一定的压力,因为这些云服务较之传统昂贵的内部基础设施部署是如此的便宜。但是,这同时也意味着失去对数据的控制。
“如果你失去了对数据的控制,企业的管理者必然会责备你。”他说。“没有对数据的控制权,是很难负起责任的。”
当然,对于企业的IT安全和法律专家们来说,评估数据缺点,然后才提交数据,是稳妥的。就算数据受到损害,其带来的费用损失的价值也足够低,是可以忍受的,他说。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
新的云安全工作需要新老技能并进
随着黑客威胁上升,CISO的职位变得热门。现在,云供应商正在寻找技能更全面的IT人才。
-
2015年:中小企业灾备即服务市场发展迅速
2015年的灾备即服务(DRaaS)领域,厂商数量增多,而产品质量也有显著提升。但是,对大型企业而言,这种基于云的灾备服务仍有待观望。
-
Linode云安全响应获表扬引担忧
云托管提供商Lindode正因为处理最近一系列的安全攻击的做法而受到称赞,但一些客户的担心足以让他们考虑其他选择。
-
面对安全管理问题你需要了解的云安全
供应商当然存在自己的问题,但与云相关的问题主要涉及系统中断,而不是数据泄露。随着越来越多的企业资源转移到云环境,将不可避免地出现更多云计算相关事故……