云安全需要全面的安全保护。在传统的安全命题上,业界强调的是边界安全,通过防火墙、防病毒软件以及防入侵检测等各种安全工具把边界保护起来。然而,道高一尺,魔高一丈。在云计算背景下,我们发现最大的安全威胁不是来自于外部,反而是内部。因为只有内部的人才真正了解机密的信息到底藏在哪里,才更容易将机密信息泄漏出去。对此,赛门铁克吴锡源表示,“防信息外泄比保护边界安全更为重要”。近两年,赛门铁克的信息安全防护产品DLP实现了两倍甚至更多的增长。
与此同时,需要注意的是,在包括“云—管—端”的云计算架构中,用户往往担心“云”安全而拒绝使用云服务。殊不知,安全威胁更多的是发生在“端”。“很多用户对安全重视程度不高,例如他们随意的输入账户密码等各种机密信息,或者上网当遇到有弹出框提示安全警告时,他们也会选择忽略。这些行为都埋下了安全隐患。”吴锡源说。
在去年发布的《赛门铁克互联网安全威胁报告》就证实了上述观点——攻击者们对各类上市的跨国公司,政府机构以及数量惊人的小型企业发动了有目标的攻击。很多事实表明,攻击者都会对每个公司内部的关键受害者进行研究,然后用定制的社会工程攻击来侵入受害者的网络。由于它们明确的目标性,即使受害企业具备基本的安全措施,许多此类攻击也会获得成功。
因此,针对“云—管—端”,趋势科技、赛门铁克等安全厂商都有提供相应的安全产品和解决方案。不过,在吴锡源看来,这远远不够,技术只是为云计算树立起第一道安全防护围墙,而云安全是一个系统工程,还需要完善的法律法规以及成熟的审计制度的支持。对此,一些安全专家对企业IT部门也提出了建议。
首先,IT负责人应把握好对安全性、可用性和成本等重要问题的控制,做到这一点需要事先对IT员工进行适当的培训和准备工作。
其次,并非所有的信息和应用都是在同一层面上创建的。进行分析并将信息和应用放置在各个层次,这样才能确定哪些能优先进入云环境。
再次,确保关键信息只能被授权用户访问,且不得将关键信息带出公司。同时,确保云服务提供商能满足企业合规性的要求。最后,对潜在云服务供应商的运作能力进行评估,例如高可用性和灾难恢复能力。
最后,云计算的实现并非是一步到位的工作。充分利用云服务是迈入云环境的一个简单的开始。尽管转移业务关键应用的准备可能需要一些时间,但可以先从比较简单的应用和服务开始部署。