对于云环境的安全和隐私问题的担心会推动云加密系统的普及,但是Gartner警告称企业在实施数据加密前还有六件事情要做。
从2011到2016年,SaaS的年增长率有望达到19.5%,PaaS有望达到27.7%,IaaS有望达到41.3%,而安全服务的年资金增长率有望达到22%。
尽管如此,安全和隐私仍然成为阻碍许多公司接受云服务的首要因素,而这也成为过去18个月里企业采用云加密系统的原因。虽然加密对于保障云服务具有重要意义,但是它并不是什么新兴技术,Gartner在最近的一项研究笔记中警告称。
分析师推荐企业最好先研制出一个数据安全计划,解决好六个基本问题。因为如果不解决数据隐私和长期的安全问题,反而会增加云计算使用的成本和复杂性。他们警告称,加密系统如果部署不当将可能干扰一些云服务的正常功能。
而这六个必须解决的安全问题就是:
数据泄露通知和数据保存
闲时数据管理
动态数据保护
密钥管理
访问控制
加密系统的长期性
No.1:数据泄露通知和数据常驻
并非所有数据都需要同等级别的保护,所以企业应该把用于云存储的数据分类,然后识别与数据泄露通知有关的服从性需求或是看数据是否不允许被保存到其他地方。
Gartner还推荐企业部署一个企业数据安全计划,从政府法律实施部门的角度管理访问请求。这项计划应该把股东纳入考虑,如合法性,合同,业务部门,安全和IT。
No.2:闲时数据管理
企业应该用具体的问题确定云服务供应商的数据存储生命周期和安全策略。
应该弄明白:
1. 是否在使用多租户存储,搞清楚租户之间使用的是什么隔离机制。
2. 是否使用贴标之类的机制阻止数据被复制到特定国度或地域。
3. 用于存档和备份的存储是否被加密,密钥管理策略是否包含强效身份识别和访问管理策略以限制对特殊区域的访问。
Gartner赞成企业使用加密技术,通过删除密钥来删除数据,从而部署终止策略,同时又确保密钥不会被损坏或复制。
No.3:动态数据保护
最为最基本的要求,Gartner推荐企业推进CSP对安全通讯协议的支持,如用于浏览器访问或VPN系统访问连接的SSL/TLS,以便为其服务提供受保护的访问。
其研究笔记指出,企业通常会加密发送到云的敏感数据,但是如果使用或存储的数据未被加密时,企业就义不容辞要解决泄露的问题。
在IaaS中,Gartner认为企业更喜欢可以在多个租户间提供网络隔离的CSP,这样租户就看不到其他租户的网络流量。
No.4:密钥管理
企业应该以管理密钥为目的,但是如果密钥被云加密服务供应商管理,Gartner说,他们就必须确保自己部署了访问管理控件,可以满足数据泄露防护的要求。如果密钥由CSP管理,那么企业应该要求在准确定义和托管的密钥管理进程套件中提供基于硬件的密钥管理系统。
Gartner认为,当密钥被托管或是可在云中获取时,供应商有必要对实时工作负载的截图提供监控,以防止分析风险。
No.5:访问控制
Gartner建议企业要求CSP支持IP子网访问限制策略,这样企业就可以通过已知的IP地址和设备限制终端用户的访问。企业应该要求加密服务供应商提供用户访问和管理控件,强效验证替代方式,如双要素验证,访问许可管理以及按管理职责分区,如安全,网络和维护。
企业还应该要求:
1. 记录所有用户和管理员对云资源的访问,把日志以适合日志管理或安全信息和事件管理系统的形式提交给企业。
2. CSP限制用户访问可能对实时工作负载截屏,执行数据迁移或数据备份与恢复的敏感系统管理工具。
3. 迁移或截屏工具捕获的图像同样被视为企业敏感数据。
No.6:加密系统的长期性
Gartner建议企业了解对应用,数据库检索,查找和分类的影响。他们应该特别留意高级搜索功能,如子字符串匹配功能和通配符,如“contains”或“ends with”。
如果加密服务供应商提供“功能保留型加密”——例如,保留分类——由于这样可能减弱加密功能的效用,所以规则会要求使用标准化的运算法则或独立证书。