專(zhuān)家解析2011年云安全五大趨勢

CSO（首席安全官）和其他IT安全專(zhuān)家2011年首要考慮的云安全問(wèn)題將會(huì )有哪些？未來(lái)一年中敬請留意以下五點(diǎn)：

智能手機數據

Qualys公司的CSO及云安全聯(lián)盟（CSA）成員Randy Barr表示，越來(lái)越多的用戶(hù)將訪(fǎng)問(wèn)他們自選設備中的大量數據。

Barr稱(chēng)："與此同時(shí)，這也將帶來(lái)許多未解決的安全問(wèn)題，我們可以期待新的解決方案來(lái)應對移動(dòng)設備，但在此之前，大量的數據泄漏會(huì )暴露出相關(guān)的移動(dòng)安全問(wèn)題。這其中可能的腳本包括移動(dòng)設備上不可靠的云備份和高度機密資料。"

在移動(dòng)設備上使用多種云服務(wù)時(shí)，不同的安全模型和條件之間會(huì )存在一些相互依存性。云服務(wù)提供商在支持移動(dòng)用戶(hù)使用基于云的移動(dòng)設備的同時(shí)，提供了許多機密移動(dòng)設備數據的訪(fǎng)問(wèn)。此外，移動(dòng)設備的遺失或被盜能提供對云服務(wù)和數據進(jìn)行根級別的訪(fǎng)問(wèn)。移動(dòng)應用程序通常會(huì )直接和自動(dòng)地提供云服務(wù)和數據的訪(fǎng)問(wèn)。如果管理人員的移動(dòng)設備被盜，亦或是利用不可靠的移動(dòng)設備管理云服務(wù)，都將成為高度機密數據的主要威脅。

需求更完善的訪(fǎng)問(wèn)控制和身份認證管理

金融服務(wù)公司ING的IT策略和架構高級副總監Alan Boehme稱(chēng)："云本質(zhì)上是高度虛擬化和高度聯(lián)合的，你需要一種方法，在自有云與他人云之間創(chuàng )建控制和管理身份?，F在已經(jīng)有第三方廠(chǎng)商交付了可以解決這些問(wèn)題的產(chǎn)品和服務(wù)，但這些可能不適合那些傳統環(huán)境與云環(huán)境結合的大企業(yè)。"

持續關(guān)注法規遵從

Andy Ellis首席安全官Akamai表示："我認為法規遵從（特別是PCI）有可能仍是一項安全問(wèn)題。企業(yè)還需要經(jīng)常應對各種完全不同的流程來(lái)管理云中的數據和應用程序。我們將看到更多關(guān)于云數據的安全保障案例。"

多租戶(hù)的風(fēng)險

Sword Shield Enterprise Security安全評估和風(fēng)險總監、IANS教學(xué)成員Dave Shackleford表示，鑒于大多數云服務(wù)都大量運用虛擬化技術(shù)，將多個(gè)組織的數據封裝在一個(gè)物理管理程序平臺中就會(huì )存在相關(guān)的風(fēng)險，除非制定具體的細分規則。

雖然已經(jīng)假定虛擬機和虛擬網(wǎng)絡(luò )組件會(huì )被"默認分離"，但管理程序平臺的缺陷和潛在弱點(diǎn)已經(jīng)證明云會(huì )產(chǎn)生細分問(wèn)題。

Shackleford表示，關(guān)于缺陷最有利的證明是去年大家關(guān)注的Kostya Korchinsky豁免案。Korchinsky"攻擊"了VMware虛擬機，并運用被稱(chēng)為CloudBurst的概念驗證工具在基礎虛擬層系統中執行了一段程序。Shackleford還表示在2008年 Core Security發(fā)現了一個(gè)目錄缺陷，它可允許攻擊者從虛擬機上訪(fǎng)問(wèn)管理程序的文件。

云標準和相關(guān)認證的出現

Barr表示，由于選擇云服務(wù)時(shí)可進(jìn)行安全評估，標準和認證將對幫助用戶(hù)估計其數據所需安全級別起到極其重要的作用。云用戶(hù)也可繼續利用其現有的流程去評估云提供商的安全態(tài)勢，但有望出現更多開(kāi)發(fā)指南和標準的民間組織。