备注:
当前公司内部以及搞云服务的公司都鼓吹自己的平台经过了可信云安全认证,但是实际上大家还是不是很
信任对应的结果,这几天刚好在看云安全基础设计构建,看到关于当前云安全的几个问题,所以记录下来,
同时也做为一个分享。
文章中提到的几点:
1. 可视化、合规性、监控
需要为云虚拟化和硬件层审计,以及云安全提供商最底层的基础设施提供无缝的安全控制,安全环境、操作
状态访问方法
2. 数据发现和保护
如何进行数据定位和隔离,以及数据占位、备份、恢复
3. 架构
a. 保护 指当相同脆弱性在许多位置存在时仍能保护标准化基础设施不受攻击
b. 支持多租户 确保来自不同租户的系统和应用能够得到正确的隔离
c. 安全策略 保证安全策略在各种云架构中得到精确和完善的实现
4. 身份管理
认证、授权,角色,以及系统和企业内部或者跨越边界的权限许可,从云安全角度来讲,诸如 “如何控制云中的、
密码和令牌”, "如何统一云中的身份"等问题亟待解决
5. 自动化和策略编排
自动化是迅速部署资源、根据流程和应用要求伸缩以及按需提供服务的能力,我们需要高度自动化、策略评估和
编排的能力,这样就能以最小化的错误和最少的干扰正确提供安全控制和保护机制
一些想法:
当前大部分商业公司都在搞云(iaas 、paas 、saas。。。),有些公司只是以一个三方的认证就说自己的平台是
安全的,这明显是在欺骗消费者,云是持续进化得出,安全的问题是层出不穷的,消费者需要看到的不是一个证书,
一张图片,而应该是对于消费者实时可视化的,自动建议的模式,对于消费者应该是透明的,而且不应该是一个黑匣子,
这样只能阻碍企业对于云的信任,增加上云的困扰。
同时在当前云的环境下,大部分做saas 的企业应该调整下架构了,时代在发展,技术在变革,老的一套已经行不通了,
改革是必须的。