gtxyzz

2013:对云安全的信心逐渐增加

gtxyzz 安全防护 2022-12-30 391浏览 0

云计算将为2013年吹来一股信任之风,因为越来越多的IT专家确信,对云的安全控制是相当充分的,尽管仍然还有诸多的疑问。

美国耶鲁大学的CIO Len Peters进行了一项对云服务的成本效益分析,用以和本地软件购买的成本效益作比较,结果发现,不仅是他最感兴趣的SaaS的单位成本要低,而且SaaS也更符合该校IT部门长期信奉的合规性和安全目标。

去年春天,耶鲁大学将一个本地IT管理应用迁移到了基于云的ServiceNow上。而成本分析表明,运行13个月以来的成本优势是正面的。不过Peters也承认,安全与合规性方面的考虑正逐渐成为云决策的关键因素。和很多IT专家一样,他发现自己被问到最多的问题是:“云安全吗?会不会有潜在的风险?”

而他给出的答案是肯定的:有风险,但也并不比本地环境的风险更大,只要与云提供商签署了了适当的安全和契约上的安排就行。更重要的是,使用云服务有助于加速进一步保障大学安全的最佳实践的采行。

耶鲁大学利用ServiceNow支持其IT服务的管理实践已经编进了ITIL。而ITIL则清晰地指出了组织在规划和实施IT服务时可以使用的IT基线。

“有了ServiceNow,我们就可以坚持ITIL流程,”Peters说,这些流程涉及从事件请求到变更管理的所有内容,影响到IT支持人员的日常工作流,并揭开了耶鲁大学所有IT环境整合的大幕。ServiceNow云服务还会影响到耶鲁用来管理自有计算机的Tivoli端点管理软件的分发。

Peters说,未来,耶鲁大学还将会采用更多的云选项,例如人力资源和ERP。但并非所有的云服务都是相同的,其灵活性要取决于合同要求或者安全条款。例如Peters对云邮件服务始终持怀疑态度,担心会出现安全与可用性风险。不过他也指出,在整个高等教育系统内,对云服务的兴趣越来越高涨,大家都希望云提供商能够尽快地解决云的风险管理问题。

当然,并非人人都认为云安全问题有多严重。例如有些组织就会放心地把邮件管理交托给云。

纽约布鲁克林区的玛丽迈克道威尔朋友学校的技术主管Bernie McCormick就说,该校已经部分使用了谷歌教育应用,不必再自己维护邮件服务器了(这一做法在桑迪飓风袭击纽约地区时显示出了优越性)。基于云的Backupify服务也在做出这一决策时发挥了关键作用。

该校的教职员在其苹果iOS和谷歌安卓个人移动设备上使用Backupify客户端软件,这是该校BYOD规划的部分内容,该校的IT部门可以在教职员的智能手机或平板电脑丢失或被盗时擦除掉谷歌应用文件夹。McCormick称,该校还使用了Barracuda网络公司云复制服务用于存储备份,并预计未来还将采用其他云服务。

随着云安全担忧逐渐减轻,很多人也开始改变了对云服务的看法。

北加州、内华达州和犹他州的私人汽车俱乐部联盟AAA NCNU的CIO Osh O’Crowley称,“我们已经制定了向云迁移的战略。”AAA联盟向其会员提供道路救援、保险和旅游便利设施服务。不过该联盟对云计算的热情倒不是因为成本,而是因为可快速获得应用,而且无须自建IT团队来支持所有这些服务。

在过去的18个月内,AAA NCNU也采用了ServiceNow,以及Salesforce.com的客户数据管理和业务流程的Workday应用。它还采用了微软Office 365云办公应用Word和Excel。AAA NCNU还保留了不少内部业务应用,还有一些主机应用。

为了对云和本地应用进行统一的身份认证和配置,AAA现在计划采用OneLogin云服务。采用这一服务,该联盟的100家办事处的2300名员工就可以单点认证登录,使用上述任意应用,而无论这些应用是在云中还是在本地。O’Crowley称,他预计采用单点登录服务的计划将会在今年4月完成。

在美国和全球范围内,还有不少企业和政府部门也在进行类似的对云安全、云服务的评估。事实上,根据Gartner的报告,云计算的增长将会成为2013年各种安全趋势的推动力量。

Gartner预计,到2015年,10%的IT安全企业将会以云的形式交付其服务。而目前它们所关注的显然是消息、Web安全以及远程漏洞评估服务。Gartner认为会有更多基于云的安全服务已在研发之中,例如数据丢失防护、加密和身份认证。

Gartner指出,美国政府将会在2013年推进所谓FedRAMP计划,该计划定义了安全与合规性指南,预计将会促进政府机构对云服务的采用。

FedRAMP计划的目的是要在未来两年内让为政府部门服务的云提供商必须通过特定安全实践的认可。这些实践包括对云中事件的响应、在高度动态环境中的取证、在多租户环境中的威胁探测与分析,以及用于司法救济的连续监测等。其思路是服务提供商必须向美国计算机紧急响应小组(US-CERT)以及可能受影响的政府部门报告各类安全事件。理论上说,不能满足这些要求的云服务商将不能向政府部门提供服务。

继续浏览有关 云安全 的文章
发表评论