本文讲的是"云"安全并非神话 五个源头严控把关,【IT168 资讯】虽然谷歌、亚马逊和Salesforce都作为云服务供应商吸引了大量的“眼球”,但微软目前已有300多个产品和针对数据中心提供的服务,可以说拥有了自主的大型的“云银行”。
今年5月,微软还发布了一份文件,申明其将提供云服务,并计划了如何确保云服务的安全。该文件由微软公司负责软件服务基础架构的全球基础服务部门发出,阐述了目前在线服务面临的危险,其中包括了服务供应商与客户之间日益相互依存的关系,以及更尖端的互联网攻击。
微软认为,它的安全解决方案起始于2002年就提出的“可信赖计算”,目前对在线服务依然有效,但需要针对当前情况作出些修改。
“如果我采用了传统的安全规范,那在规则和方法上并没有改变。”微软商业风险管理高级经理Charlie McNerney表示,“只是我们扩大了安全控制的范围。”
在最近的采访中,McNerney和其他云服务供应商分享了微软关于云服务和数据中心电力供应等方面的想法。
1、应该和客户一起讨论云服务的风险问题,以打消许多客户的顾虑,McNerney说。沟通的要点就是要分清楚客户数据安全方面各自承担怎样的责任和该履行怎样的职责。
“当云服务环境中业务被中断时,缺陷到底在哪里?各方面应该承担怎样的职责?这类的问题目前在大型企业中被谈论得最多了。”McNerney说。
微软同时发现,客户最大的担心不仅仅是安全。网站和电子邮件是任何公司品牌的重要组成,同样需要得到保护。“我发现任何企业都不能忽视。”McNerney说,“那些通过互联网运营的小企业对安全的需求和大企业一样。”
2、注意设法减轻客户的担忧。微软已经投入了很多时间,组织必要的控制,以满足各种标准的要求。
微软削减了200项必要控制清单中的26项不同类型的审计,并制定了全面的数据中心环境和服务的控制。标准化意味着微软不必将公司数据中心的入口开放给每一位客户或者审计师。
“大型企业用户想要了解自己的控制情况,但是我又能让多少个公司进入数据中心呢?”McNerney说。“如果你考虑究竟能做什么,其实我也没办法让所有的客户都进入我们的设备。”
作为替代的办法,微软已经制定了客户需要遵守的规范框架,允许审计师进入测试菜单并返回结果。“每个公司都会想了解测试过程和结果。”McNerney说,“这才是我们的机遇和挑战。”
3、制定更好的标准,更好地为客户服务,大型云供应商需要共同努力,使得它们的平台标准化,McNerney表示。
“亚马逊有一个标准,雅虎有一个标准,谷歌也有一个标准。”McNerney说,“但是我们的标准是不同的。接下来,我们不得不拿出一个合作的框架,然后在互联网上根据这个框架建立一个跨平台的产品。”
例如,企业需要就全球身份标识达成统一的处理方式。目前,互联网上的多重身份问题还没有从标准的角度制定有效的解决方案,McNerney说。“客户们希望,云计算就是他们的互操作环境。”
4、隐私和安全性并不像微软的云计算应用模型和它的服务及数据中心那样有显著的不同。在微软看来,云计算领域的安全和隐私的区别几乎没有。McNerney表示。
这样的结果确实有点令人惊讶,McNerney说,因为微软开发了管理安全和隐私的工具,两者之间没有特别显著的区分。“大多数人的做法是一种方式保护隐私,另一种方式保护安全。”McNerney说,“但在云计算领域,以混合的方式来实现更加合理和科学。”
5、请不要将云安全和今年秋天即将推出的Windows Azure平台联系起来,微软将有一系列全新新的考虑。互联网安全服务商Zscaler公司的首席执行官Jay Chaudhry表示。
Chaudhry认为,每个云服务的安全考虑是不同的。对于正在使用的办公应用软件、电子邮件服务,以及对数据库的访问等比较好控制,但是像Exchange服务器等这样的其它服务,需要进行大量的设置,安全更难保证。
“企业需要具体领域具体考虑,并妥善解决。”Chaudhry说,“没有一种方法将整个云计算领域的安全问题都解决掉。”数据库服务、存储服务和风险评估服务等对安全都有不同的考虑重点,即将发布的Windows Azure平台服务可能在安全方面做得更好些,Chaudhry表示。
