随着云计算落地更多的中小企业开始关注公有云服务所带来的便利,同时大型企业对混合云的关注程度也在提升。那么2012年云计算安全会发生哪些变化?
1、云计算安全标准兼容法规呼之欲出
众所周知,云计算缺乏统一的标准,比如数据存放在哪里,云计算供应商是否满足当地政府的要求和行业标准等等。同样云计算安全也面临同样的问题,企业一旦从云计算供应商那里选择服务,那么信息与数据的安全如何规避风险?
关键的问题之一就是全球化的兼容性法规的制定,如果要充分发挥云计算的优势,为了实现弹性资源的收放自如,降低成本。那么众多的云提供商就要与政府一起合作,制定标准的针对数据、隐私方面的共同标准。包括考虑功能、司法和合同几方面的问题,比如政府管理法案和制度对于云计算服务、利益相关者和数据资产的影响等等。
另外,在云计算环境如何通过执行安全策略和相关法规来保证企业自身的合规性也十分重要,比如与云供应商明确在合规责任上的区别,云提供商合规方面的能力等等。
总之,未来全球范围内法律对合规的需求使得法律人士和技术专家需要更密切的配合,这一点在云计算中显得尤为突出,原因在于云特有的分布式生态环境产生了潜在的法律风险。
2、云计算安全服务变革蓄势待发
据Gartner预测,云计算安全服务占据了安全服务市场20%的份额,预期到2013年将会占到60%的份额。以云计算方式提供的安全应用服务,在2013年将会增长三倍。随着企业成本控制因素在企业IT采购中所占到的比重越来越大。基于安全厂商自身强大云安全平台为基础的云计算安全服务,将给安全产业带来全新的改变。
云计算安全服务供应商将安全控制及功能提供给企业,为企业提供极具成本效益的技术和服务,比如身份认证、DLP、漏洞管理、Web安全等服务。
因为云计算的特性是资源按需提供,灵活极具弹性。企业可根据需要随时增减安全功能,对企业评估安全开始的有效性。如果企业对目前安全架构的有效性存在疑惑,或没有能力短期内完成自身安全架构的建设,则完全可以选择云计算安全服务保障企业Web、邮件等系统的安全性。云计算安全服务能以快速、符合不同企业规模的方式按需定制。而随着又更多的提供云安全服务的厂商加入竞争,企业选择云安全服务的门槛也将降低,将给企业带来更高的价值。
企业可以选择让自己购买的安全设备真正发挥作用。也可以在安全即服务的模式下,将关注点从日常的安全运维转到业务的运营。
3、虚拟化安全进入高速发展期
从虚拟化到数据中心,再到云计算。虽然对云计算的定义存在千差万别,但公认的是云计算一定要做资源池,所以虚拟化在云计算中始终扮演举足轻重的角色。如何实现虚拟化的安全是所有企业步入云计算的首要担心元素。从物理走到弹性环境如何控制?虚拟机如何实现安全管理?
虚拟化安全经过缓慢的起步之后,众多的厂商纷纷在虚拟化安全控制和管理方面取得了进步,为防火墙、入侵防御提供虚拟设备选择,将迎来新一轮的高速发展期。根据Technavio的调查显示,预计在2014年虚拟化安全管理解决方案的市场规模将达到15.73亿美元,年复合成长率将高达46.9%。
因为云计算服务选择了虚拟化技术,那么虚拟机间的隔离和安全防护是必须要考虑的。虚拟通信流量对标准网络安全控制来说是不可见的,无法对其进行监控和检测,那么安全控制功能需要在虚拟化环境中采用新的技术和手段。同时数据和资源的集中到底是否安全?以及不同安全级别虚拟机该如何共存?等问题将得到更有效的解决。
另外以虚拟化为重点的基于软件的安全控制和管理解决方案将在未来得到企业的认可,虽然目前这一趋势还存在着不确定性,市场规模也有限,但比硬件成本要低的软件谁不愿意选择呢?
4、云计算能否迈过数据安全这道坎
从安全角度看,大数据是指规模和格式前所未有的大量数据,搜集自企业的各个部分,互相关联,以便进行高速分析。随着数据存储系统、计算能力和分析能力方面的进步,数据安全管理的大数据时代已经到来,那么云计算必须迈过数据安全这道坎。据早先一份调查显示,21%的受访者担心云计算会产生数据丢失。20%的人拒绝使用云服务,因为他们对数据安全心怀疑虑,而这样的忧虑在中国更为突出。
虚拟化安全和数据安全是云计算安全防护的重点。2011年企业数据安全成了重灾区,这无疑给企业放心的将企业数据放入云端埋下了伏笔。2012年云计算能否迈过这道坎,成了摆在企业面前的实际问题。云计算产业的发展必须克服数据加密、迁移、备份、数据传输安全等方面的问题。
不论企业数据放在云端或本地,或是是企业选择私有云模式还是公有云模式,安全问题都是需要考虑的。需要评估数据的风险和合规性,当然如果企业数据在自己的数据中心不需要考虑这方面的因素,那么一旦进入公有云这样的问题就变得完全不一样了,需要关注数据隐私保护、数据归属、服务协议保障(SLA)、数据完整性、数据删除和持续性、不同数据的混合等等诸多问题。
可以预见是针对企业数据的高持续性安全威胁,将在2012年来的更加凶猛,因为越来越多的企业意识到云计算的大势所趋,尽快选择已使然,而数据安全的阶段性瓶颈而又不得不面对,这就给了云计算犯罪更多的利益驱动力。所以确保数据安全在未来,依然是云计算取信于用户的关键,而关键数据的安全性是企业业务正常运转的保障,所以针对关键和敏感数据安全的解决方案和策略对企业至关重要。
5、安全成云计算可管理性重要指标
云计算是颠覆性的概念,对所有领域而言都是全新的,不可能一蹴而就的。迈进云计算将面临不同数据,不同资源的整合,如何区分数据,如何保证正确的人有正确的权限访问合适的数据和资源,将变的越来越重要。而目前的状况是还存在很多的数据和资源无法进行物理的控制,这就给安全带来了全新的思考。
安全已经逐渐成为衡量云计算可管理性的重要标准,管理包括企业风险管理、信息风险管理、第三方机构对云提供商提供管理、信息生命周期管理、加密和密钥管理和身份和访问管理等等。
比如企业风险管理的最佳实践。许多云计算部署中缺少对基础设施的物理控制,因此与传统的企业拥有基础设施相比,服务水平协议(SLA)、合同需求及提供商文档化在风险管理中会扮演更重要的角色。
比如信息风险管理,需要成熟模型评估管理的有效性,对与企业选择不同的云计算模式时,企业都需要知道信息的采集、流程、分析等要求。身份和访问管理利用目录服务来管理身份,提供访问控制能力,企业将身份管理扩展进云中遇到的问题等。这些管理层面问题不再展开讨论。
