您至少应该在您的云安全计划中考虑以下的每一个问题:1、谁的身份认证/访问控制?2、位置是否安全?3、如何进行审计?4、我的数据是否在专用硬件上?5、谁在看管商店?6、数据如何加密?
无论您是一个依靠Google Docs进行文件共享的小企业,抑或向云中迁移全球ERP系统的大公司,您应该要求供应商基于Web提供的应用程序和服务,遵从一些常见的安全和法规要求。这些要求涉及到谁可以访问您的应用程序和数据,以及登录他们的系统;数据存储于何处,是否是专用的,而不是共享的硬件。他们还应确保向您提供谁访问了您的数据及应用程序的详细日志,以便满足您的企业需求和监管标准,并验证数据是否正确加密——这是企业防火墙之外更重要的一个因素。
您的云需求取决于您的企业标准和您的合规需求,您迁移至云的工作负载的数量和类型,以及您是如何划分您的工作人员和您的供应商之间的管理和安全责任。取决于您是否使用软件作为服务(SaaS)、基础设施作为服务(IaaS)或平台作为服务(PaaS),云产品安全性的要求也各不相同。但您至少应该在您的云安全计划中考虑以下的每一个问题。
1、谁的身份认证/访问控制?
证明用户是谁,控制他们可以看到的数据,他们可以执行的功能,都是基于根据他们的身份,几乎每个接受采访的云用户都将其作为首要任务。身份验证是最具挑战的,当你将用户信息和控制权限保留在于防火墙内如Active Directory这样的库中,而服务器和应用程序放在云中。
理想的方案是“联合”的身份管理准入制度,池认证信息全从您的企业的系统中来,内部的和外部的。这允许任何用户的即时认证,只要他提供正确的凭据,如密码或密码和令牌。它还提供了单点登录,使用户能够在企业内部和在云中,用一个单一的用户名和密码,访问他们的应用程序和数据。顶级SaaS提供商,凭其基础设施足以提供单一登录的服务,让大客户本身作为标识提供方(Identity Providers),许多规模较小的服务提供商和他们的客户缺乏这些能力,Forrester Research分析师Eve Maler说。
不过,由于联合身份管理成本昂贵实施繁琐,许多组织采用“同步”的做法,即在不同的应用程序维护用户的身份验证信息的不同副本,Maler说。通过散布在多个地点和公司的用户凭据数据,这可能危及安全。它还会在雇员访问内部系统和访问基于云的应用撤回之间的造成延迟,酿成安全隐患。
另一种身份验证的选择,是云服务提供商直接连接到公司存储的用户信息,Maler说,“也许是比同步更安全”,但仅适用于你只有一个相对简单的系统。这是医疗保健供应商HCR ManorCare采取的路线。HCR信息安全总监Thomas Vines说,在过去7年,他已经习惯了该公司的电子病历系统放在云上,这“很舒服”。Vines说,他允许从Zscaler(Zscaler也检查网站是否有恶意软件,控制用户可以访问哪些网站)一个基于云的安全服务来访问他的Active Directory,以确定对哪些用户进行身份验证并给予他们什么级别的访问权限。
IaaS的实施,在客户购买云中使用服务器的情况下,服务提供商简单的链接到LDAP目录可能就足够了,NetIQ公司云产品管理的主管Tom Cecere说。他表示,这是因为通常管理角色数量有限。例如,一个角色可能包括用户可以创建新的服务器,第二个角色可能涵盖了更广泛的设置,可以扩展服务器的能力,第三个角色则可能包括可以使用服务器较大的一群人。
许多供应商,包括Symplified、Okta和Ping Identity,提供Maler所说的“联合的简化方式”的单点登录,通过将用户的访问请求重定向到一个基于云的身份验证过程中,支持所有客户使用的基于云的服务。
下一个挑战是,确保用户只可以访问他们被授权的应用、数据或功能。并不是所有的组织都指定相同的访问水平,Maler说,提供客户需要的水平的细节更为关键。
2、位置是否安全?
云计算允许数据在用户不知情的情况下被转移到最具成本效益的位置。但是,为安全保障起见,客户应该知道他们的数据的位置。IT基础设施和金融信息安全服务提供商Wilshire Associates副总裁Gary Landau,希望云供应商提供冗余站点的复制,“但我也想知道,(数据)将会到哪儿,因为我不希望我的数据被迁移”至一个缺乏强有力的法律保障的国家。
关注文件安全性的云客户,可以使用像WatchDox这样的SaaS工具,授权谁可以查看其基于云的文件和跟踪谁访问这些文件。据国防制造CVG战略顾问业务发展副总裁Kevin Gholston表示,比起繁琐的数字版权管理软件,WatchDox更容易使用。
制药公司AMAG Pharmaceuticals执行董事,Nathan McBride说,AMAG制药24小时依赖于云服务提供商的主机上的所有敏感应用和8TB的数据,包括制造工艺和质量控制的相关信息。他为Google企业应用套件Google Apps使用CloudLock(原Aprigo)限制用户访问文档,当用户离开公司,使用CloudLock将文件所有权转移给另一名雇员。这样避免了手工找到每个文件并改变访问权限的需要。 |