2016 年 2 月 1 日
云安全的那些事
世间万物都是收益与风险并存,云计算更是如此。在云计算给企业带来高效与便捷的同时,云安全也牵动着每个云上用户的神经。
斯诺登事件曾引起全球性信息安全恐慌,许多政府由此将信息安全提高到战备的高度,其重要性也就不言而喻。而云上信息的安全程度,可能直接关系到用户是否会采纳云,尤其是混合云不断发展,开源开放理念日益兴盛的今天。
本期Helion云连载,我们一起来看看云安全领域的那些事。
当云计算改变了传统IT的运作方式时,从过去那种建设公司专属的计算资源,到今天很多企业开始共享云计算这一“公共”计算资源,这也就意味着,企业将IT设施的安全责任转移给云服务提供商,此时,企业必须要正视云安全问题。否则,安全问题极有可能带来高额的失败成本,严重情况下,甚至有可能导致在商业市场上一败涂地。
根据全球云标准用户委员会(Cloud Standards Customer Council)的划分,云安全问题的发生有15种可能场景,包括云的管理权界限、责任模糊、认证风险、分隔风险、合规性和法律风险、安全事件的处理、管理接口脆弱、应用保护、数据保护、内部危险行为、云计算服务提供商的业务风险、服务的不稳定性、厂商锁定、数据删除不彻底、应用监管。安全隐患之多,应用场景之广令人咋舌。
可见,企业上云,安全问题首当其冲。云安全问题关系每个上云组织的命脉,实谓牵一发而动全身之事,马虎不得。
那么,针对这么多潜在风险,企业应该如何面对?从用户角度而言,需要从云计算服务的选择问题、云计算的监管问题、云计算的技术问题,三方面着手,规避潜在的云计算风险:
第一,选择基于开源平台的云计算,避免厂商锁定。斯诺登事件之后,中国政府大力提倡企业使用开源。相比封闭架构而言,开放式架构具备明显优势,解决方案更加灵活,无供应商锁定;兼容性更好,易于扩展;性价比更高,支持更广泛。越来越多的企业正在将开源大规模应用于生产环境。
第二,企业在实施云计算战略的时候,必须认真思考云计算的监管问题,其中包括:云计算资源的访问与认证、法律及合规性风险、数据的泄漏风险等。这一点,要求云计算架构的提供商有一支强大的咨询团队,从管理咨询到法规制定,以及相关人员的管理,有着深厚的经验。
在这一方面,HPE有着深刻的理解。2015年在欧洲推出了Cloud 28+项目,HPE团队提供了全面的咨询管理,让这个跨欧洲多国的云计算生态满足了不同国家对于计算资源监管、数据监管以及安全控制方面的要求。
第三,采用先进的技术措施,从技术上保护云计算资源和应用。云安全背后离不开强大的技术支撑,如数据加密和脱敏措施。从数据甄选、评估,到数据向云端迁移整个过程都需要技术上的安全保护。如何确保企业数据在云端的安全性,一直是企业考量云服务提供商及其解决方案的重要因素。
对于HPE而言,我们在云安全领域有着深厚的技术积累和实践经验,可以满足全球以及中国企业的云安全问题,从合规性、监管、技术三个层面全面保障云上信息安全。
合规层面:
HPE Helion的安全解决方案能满足国家对云网络安全的所有级别的要求。HPE Helion云解决方案和产品,符合法律规范(PCI、HIPPA、中国MLPS等)的要求,在多平台环境中满足法规对数据中心位置和监管的规定,能交付符合国家安全等保要求的云平台,确保客户的混合架构合规,免于被攻击。
监管层面:
HPE能够监控、管理和组织客户的混合架构所遭遇的一切威胁。HPE Helion与Veritas软件公司联合开发基于HPE Helion OpenStack的灾难恢复SaaS服务解决方案DRaaS (Disaster Recovery As-a-Service),将灾难恢复服务作为SaaS模式,为企业IT系统提供连续性服务。
技术层面:
HPE Helion安全智能平台全面保障云端信息安全。采用Fortify解决方案实现云应用的实时保护,边开发边测试的方式规避云应用开发中的安全漏洞评估;ArcSight企业级的审计和安全管理平台,为客户构建直观、有效的安全审计和运维平台;SecureData数据安全方案,对数据进行加密,实现云中非结构化数据分级和保护。
安全问题,无法妥协。HPE Helion云计算拥有国际领先的技术,基于开源开放的理念,聚焦混合云的发展。除了推动OpenStack社区成立了安全委员会,Helion OpenStack产品本身在安全方面也做了企业级增强,能够确保客户的混合架构的合规性与安全性,避免厂商锁定。
在云网络安全上,HPE与本土厂商建立的是合作共赢的关系。HPE Helion云计算解决方案本着合规、安全的原则,在遵循全球通行标准和中国法律法规的基础上,从根本上维护企业云上的信息安全,使您专注于业务拓展,远离后顾之忧。