云计算安全的出路在“共享职责”

cloud-security-responsibility

最近,关注云计算的人们可能会注意到一个新的名词:“共享职责”,它源自英文:Shared Responsibility。

为什么会出现这个新词呢?它到底是什么意思,又能给云计算产业带来什么变化呢?我们邀请到昆明亭长朗然科技有限公司云计算安全研究员Charles Liu来和我们谈一谈这个话题。

国内云计算的投入很大笔,可是落地情况并不容乐观,甚至有业界专家预测云计算产业要落光伏产业的后路,成为预期无限好、现实折人腰的又一个典范。对此亭长朗然公司Charles说:人们的担心不是多余的,云计算目前主要的障碍是落地问题,与其说是应用的缺乏,不如说是安全的顾虑。

让我们分析一下市场与供给,大型的客户如互联网公司宁可自建基于云计算基础架构的数据中心,也不会轻易使用他人的。中小型客户的数据量还不是足够大、计算能力的需求也还不够强烈,所以并不会急于向云计算迁移。而想从个人和家庭用户那儿赚取足够多的钱来支撑庞大的云计算投入和日常的运营开支尚不容易,终端能轻易搞定的,为什么要用云呢?

其实更严重的问题是云计算的投入多数是就是数据中心建设,冗余电力、中央制冷、多台服务器、多条线路、海量存储等基础硬件的建设,这和客户所期望的云计算价值明显有差距,差距主要体观在应用软件方面的不足,可这并不是致命伤。

影响云计算大规模应用的关键问题在安全,要让云计算发挥作用,传统的IT组织需要变革,安全问题是首要考虑的。数据游离出传统的安全边界,谁来负责?这就引起我们今天探讨的“共享职责”一词。

“共享职责”到底是什么意思呢?亭长朗然公司Charles打了个有趣的比方,如同使用“一国两制”的概念来解决香港澳门问题一样,“共享职责”是解决云计算安全的一种大胆创新尝试,但并不是折衷或退让。在“共享职责”条件下,云计算用户和服务商需共同担负必要的信息安全职责,因为唯有将双方的权利和职责放到台面,明确相关的产权归属以及服务中止等问题,云计算合约方能继续谈下去。

我们要拿一些企业应用来看,如技术层面讲,多数非关键的应用可以很快迁移到云端,但现实却恰恰相反,很多企业信息化越来越完善,能运行在“云”端的商业流程和在线应用却在回归企业内网。这种状况让看好云计算产业的人士大跌眼镜,非核心的数据尚且如此,核心业务流程如何能轻易使用公有云计算服务呢?

有专家提及规模效应,除了互联网门户和电商等有较大规模的用户,谁家云计算能跨过地域强制人家使用啊?官员搞云计算建设只是想出政绩或从中捞钱,可能对后期运营和赚钱并不感兴趣,即使发力也只在特定的区域或行业范围内部,规模市场不还是得看门户和电商的努力成果?

让我们预测一下,当云计算产业步光伏产业的后路之时,门户和电商可以出手,以极低价格获得大批计算能力,减个便宜然后低价销售,进而让云计算的价格优势显然出来。云计算过度投资的好处就如同当年互联网线路铺设一样,既然铺好了,有人巨亏,倒闭了,有人捡了便宜,最终对消费者是个利好。不过,即使能便宜到每年50万销售传统上每年500万数据中心的能力,也不见得客户会去买,问题在安全职责上面,我们需要“共享职责”创新理念,在IT服务框架之下建立双方的信息安全及隐私保护合约,方能有效打消用户对云计算安全方面的顾虑。

云计算产业的出路在安全问题的解决,而安全问题将落实到合约及职责层面,“共享职责”是一种创新的选择,相关的沟通和培训是起点。昆明亭长朗然科技有限公司提供信息安全意识培训方面的专业服务,可以帮助云计算服务商及客户有效解决安全方面的顾虑。此外,昆明亭长朗然科技有限公司创作了大量的信息安全意识课件模块,欢迎有兴趣的朋友们联系我们,洽谈安全意识培训方面的业务合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

携带个人设备时代的数据安全

cook-ipad-mini2
后PC时代,消费电子流行,携带个人设备 Bring Your Own Devvice (BYOD) 来势汹汹,不少员工开始使用自己的智能手机或平板电脑用于工作场所,当然在办公室之外更是如此。

设备是员工们的私人资产,却传输、处理和存储了公司(本文定义包含其它非商业的组织机构)的重要信息数据,这的确带来一些信息安全方面的挑战。不少大型组织机构的信息安全管理负责人已经开始严肃对待这件事情,至少我们可以有两方面着手行动:一、从政策和管理层面加强监管,传统的设备及应用的登记、批准、审核等一套标准化的作业流程逐渐被开发、发布以及落实。二、从技术控管方面层面评估、开发或采用适当的移动设备管理 MDM 解决方案。

其实,除了上面两招之外,我们要弄清楚的一个事实和趋势是:借用于云计算的威力,移动计算时代的信息安全威胁已经不能依靠传统的中央控管和边界安全了。这是怎么回事呢?我们已经无法像十年前那样,将信息数据、计算设备和终端用户固定在办公室或大院内。

聪明的信息安全管理团队开始从业务信息安全方面着手,在保障IT基础架构安全之外,紧紧抓住海量的终端数据、智能设备及移动用户,这虽然算不上什么创新,但无疑是一个大的关注角度和焦点的变换。

终端本身即包含设备、信息,也包含使用以及操控它们的最终用户,既然这些终端能逃出中央控管和边界保护,那为什么不让最终用户担负起终端最基本的信息安全保护职责呢?也正是这些最终用户,才和业务成功息息相关。

搞信息安全管理的,在后台埋头苦干,让基础架构固若金汤,也难让业务方面的经理和总监大佬们理解和认可。昆明亭长朗然科技有限公司移动安全观察员James Dong提议:要让信息安全真正体现出价值,要让信息安全与业务战略、目标及需求保持一致,要转换思路和方法,一方面从关注信息系统的安全转换到关注业务信息的保障,特别是业务流程所严重依赖的信息流的安全,除了在信息系统后台的那些不为非IT人士所理解的数据库存储、中间件应用之外,最多的就是用户终端。

想在业务信息安全方面有所作为,被负责业务的总监经理们理解和认可,焦点应该转向用户终端的信息数据安全。终端安全显然不再是个人电脑的杀毒以及安装个人防火墙这么单纯——这些毕竟还是很简单的技术活,要从最终用户所知晓和处理的业务流程和数据入手。

还有一个重要的是我们还需要适当的“秀”,我们谈论的“秀”不是贬义词,而是在展示信息安全对业务成功的价值,当然目的还是获得高管们对信息安全工作的理解和支持。高管们了解员工们的工作与信息安全的关系,信息安全需要高层的支持,所以也需要高层参与进来“秀”给全公司、客户甚至供应链,以表公司高层对信息安全工作的重视和承诺。

回到BYOD,信息安全管理团队最应该做的,是拉上高层赞助者来向全体员工“秀”一“秀”移动信息安全的重要性、最终用户应该注意的安全事项、并且展示出保护移动信息安全的一些最佳实践。这样,高层领导即在移动设备信息安全方面做了表率,又显示了工作方面的尽职尽责,还让信息安全沟通工作变得更加顺滑,真是一举多得!

在技术控管方案上面即使花费大量资源,也很难赶上移动设备更新换代的速度,手机厂商使用浑身解数来增加新功能,可穿戴式计算设备蓄势待发,AI设备蜂拥而至……此外,在安全控管技术上追随的步伐也难赶上破解者的速度,而从最终用户的移动设备信息安全意识爬起,则能以不变应万变。

携带个人设备时代,我们可以有多种应对方案,最有效、最轻松、也最能彰显成绩的,无非强化对最终用户进行信息安全意识教育。昆明亭长朗然科技有限公司设计和制作了简单易用的移动设备安全使用培训课程和动画视频,可供有需要的客户参考、借鉴和购买使用。除了移动计算安全之外,我们亦有数百部其它安全意识动画视频和交互式游戏培训课件,欢迎有需要的安全宣教负责人员和我们联系,也欢迎有兴趣有渠道的合作伙伴加入我们。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:[email protected]

QQ:1767022898