云端运算作为当今互联网安全里最热门的技术,同样的也是最受争议的技术。当我在阅读各种Blog、IT产业分析以及媒体报导时,我发现到许多矛盾的观点。某些作者认为云端运算较为安全,有些则特别强调新的安全挑战。由于云端的概念目前仍在雏形阶段,因此到处充斥着许多似是而非的论点。以下是我最常听到的五大云端运算争论。
争论1:基础架构服务(Infrastructure-as-a-Service,简称IaaS)供货商所提供的虚拟私人云端就像企业内部数据中心一样安全
"虚拟私人云端"是IaaS领域所衍生出来的新兴概念,可让企业透过虚拟私人网络(VPN)联机至云端的资源,IaaS厂商会提供一段企业专属的IP范围。这种运算方式的问题在于您仍旧与其它企业共享硬件资源与交换网络,彼此间仅藉由虚拟局域网络(VLAN)隔离。然而组态设定错误的情况时有所闻。根据最近一份研究显示,澳洲有31%的资料外泄事件是"第三方厂商如云端运算或SaaS供货商的错误所造成"。
争论2:您不需要一家以上的IaaS供货商
将所有鸡蛋都放在同一个篮子,万一篮子打翻了就很危险,云端运算也一样。虽然采用单一IaaS供货商较容易管理,但却也形成单一故障点。仰赖单一IaaS供货商的风险是,万一厂商遭到分布式阻断服务(Distributed Denial of Service,简称DDOS)攻击,企业的营运就可能发生中断,就像Bitbucket的例子。
另一个单一故障点(SPOF)的例子是Rackspace,一辆卡车撞上了某个变电箱而导致Rackspace资料中心电力中断,业务因而停摆。由于意外在所难免,因此,要防止单一故障点,就要拥有一家以上的IaaS供货商。
建立备援据点,是达成灾难复原的主要方法之一,云端运算的时代也一样。企业或许不需要一个热待命的失败接管据点,但却应该规划并测试如何在需要的时候迅速将营运切换至第二家供货商。虽然像Amazon"可用性区间"这类的作法可降低上述风险,但并不能完全消除单一故障点的可能性。
争论3:私人云端同样也适用实体数据中心的安全方案
其思维逻辑是,数据中心原本的边境防御就已成效良好,而私人云端也受到同样的保护,所以应该没问题。只可惜,情况通常并非如此。私人云端(或称为动态虚拟化数据中心)有其新的挑战,这些挑战是传统静态数据中心所没有的。虚拟化与云端运算加大了歹徒的攻击面,共享式储存就是一个例子。
另外还有一些新的状况,例如系统管理员不小心用vMotion将某个服务器从安全区域移到DMZ。此外,VLAN组态设定错误也可能导致数据未妥善隔离。还有,同一个vShield区域内的VM之间不受监控的数据流量呢?在一个混合式云端环境中,当一个应用程序移到云端,其虚拟机器周围却没有安全防护将会如何?仰赖IaaS厂商所提供的基本防火墙规则,甚至连IDS/IPS也没有,可能会让某些企业感到不安。
争论4:云端运算服务供货商会负起安全的责任
虽然SaaS或PaaS服务供货商通常会在服务条款中提供安全保障,在IaaS领域却不然。虽然IaaS厂商会采取一些安全措施,并且在文宣中强调其安全措施,但IaaS环境的安全性终究是企业与IaaS厂商应该共同负担的责任,而且,最终的责任通常还是落在企业本身。您IaaS供货商的服务条款中有关安全的章节应该会强调这一点(Amazon EC2客户合约就是一个良好范例)。
不仅如此,虽然供货商会负起安全的责任,但万一发生资料外泄事件,企业本身仍旧须承担最终的责任。毕竟,那是您的数据。
争论5:我的云端服务厂商有SAS 70 Type II稽核程序,因此我的数据安全无虞。
SAS 70 Type II稽核的确是不错的安全基础,也是确保厂商在检查期间安全控管措施正常运作的一项工具,但这并不等于安全性。而且可能给人一种安全感的假象。稽核所看的是过去的状况,虽然过去的绩效对未来具指标性(至少在资料中心安全方面),但绝非未来的保证。一旦公司发生大规模或不预期的人事变动,就可能让原本扎实完整的安全措施一夕之间瓦解。此外,SAS70也无法防止心生不满的员工对公司或客户挟怨报复。
相关阅读