云计算提供商是否应审查客户信息
研究发现,安全仍然是用户部署云计算应用时担心的主要问题。各个提供商似乎都在宣传保护云中数据的安全功能。不过,IBM将采取进一步的措施,不仅保护在云中的数据,而且还会监管哪些用户使用自己的云服务。
微软社区网站Redmond Channel Partner最近发表了一篇博客文章,报道了对一位IBM高管的采访情况。IBM全球技术服务部门负责云业务的副总裁里奇·莱奇纳(RichLechner)称:“单个人不能使用信用卡注册使用IBM的服务。IBM使用云服务监视每一个用户的身份,因此,IBM知道谁在大楼内。”
IaaS提供商在允许用户数据存储在其云中之前审核单个用户的数据吗?咨询机构CISOGroup的执行合伙人艾伦·施梅尔(AlanShimel)称,对于大多数IaaS提供商来说,希望渺茫。
施梅尔问道:“你真的认为他们会实时地逐个用户地进行审查,审查你是谁和你向云中放入什么数据吗?很可能不会这样做。云的弹性的性质使这样做是不可能的,或者至少成本是不允许的。”施梅尔指出,他不熟悉每一个单个的云提供商的安全政策。每一个提供商的安全政策都是不同的。但是,一些大型公共云IaaS提供商不可能跟踪它的所有用户。
除了莱奇纳在博客中发表的内容之外,IBM发言人不愿意对该公司的政策发表评论。但是,施梅尔称,IBM要了解个人用户身份的另一个潜在的理由是因为IBM的云服务是面向企业用户的。IBM也许要定制一些服务来满足用户的需求。
其它IaaS提供商对于自己的战略都含糊其辞。Rackspace发言人在电子邮件中称:“维护客户的信任和客户数据的安全是我们的首要任务。”她没有提供该公司识别用户身份的细节,也没有说在数据存储到该公司管理的主机或者云环境之前是否审查这些数据。
许多人认为亚马逊Web服务(AWS)是IaaS的市场领先者。AWS提供了一些额外的细节。AWS发言人凯·肯顿(KayKinton)称:“我们不检查用户数据。”她继续说,我们要进行高级的审查以防止诈骗和滥用服务,然后才允许用户使用我们的服务并且接着扩大使用规模。AWS要求用户在使用其服务之前提交一个电子邮件地址、电话号码和信用卡信息,然后向用户发送一个PIN(个人识别码),批准访问AWS服务。
但是,施梅尔称,客户不必要求他们的IaaS提供商确切地知道他们的全部用户是谁。他说,一旦数据存储在提供商的云中,更重要的安全担心是保护这些数据。
施梅尔称,如果有严格的安全措施,那么,提供商就能够保证即使不需要的数据放在云中也不会让它引起危害。这样的做的最佳方法是隔离用户的数据。这似乎是提供商更愿意公开讨论的事情。
例如,肯顿称,AWS指出,每一个用户实例都有自己的防火墙,能够阻止在其云中的其它实例的入侵。AWS使用网络通讯的数据包级的隔离措施并且支持行业标准的加密。对于格外担心安全的用户来说,AWS提供一个虚拟私有云(VPC),为用户提供一个专用的IP地址,如果用户希望拥有这种地址的话。肯顿补充说,亚马逊有ISO27001、FISMA、SAS-70和PCI等证书。
云和管理的服务提供商VirtuStream负责解决方案架构的高级副总裁肖恩·詹宁斯(SeanJennings)同意这种说法:以为提供商会审核单个用户的数据是不现实的。他说:“我认为,他们在接受信用卡刷卡,一般不做审核。”不过,这种情况会根据提供商的不同而有所变化。例如,社区云是针对健康医疗或者金融等具体垂直行业的,正在日益流行。作为社区云,提供商会与单个客户更密切地合作以便熟悉什么类型的数据将放在云中,以便更好地优化让垂直行业的客户使用的产品。
Virtustream本身是一个公共云提供商。詹宁斯称,隔离数据是他的公司和其它大多数云提供商最担心的问题。在Virtustream,每一个客户都有一个专用的通向数据中心的虚拟局域网输入。在周围有防火墙并且还有一个虚拟交换机层。这些措施保正任何恶意软件无论有什么理由都不能进入数据中心,恶意软件无法传播。Virtustream监视数据中心中的通讯并且标记可疑的行为。不过,詹宁斯称,即使在一个专用的私有云环境,也许也会有一些核心的网络设备是多个数据中心和客户共享的,如核心企业交换机和路由器等设备。
詹宁斯称,总的来说,不要指望提供商审核用户及其数据,用户应该有义务在把数据放在云中之前验证其IaaS提供商的安全功能。
(责任编辑:admin)- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。