哪一個(gè)更安全:把數(shù)據(jù)保存在云里,還是留在自己內(nèi)部?
本周在舊金山舉行的RSA 2014大會(huì)上,來(lái)自微軟、谷歌和其他云廠商的安全專(zhuān)家們?cè)谛〗M討論中就這個(gè)話(huà)題進(jìn)行了激烈的爭(zhēng)論。廠商們認(rèn)同,讓客戶(hù)把數(shù)據(jù)保存在云中是建立信任的問(wèn)題,但是他們對(duì)如何實(shí)現(xiàn)這個(gè)目標(biāo)有不同的看法。
雖然很多企業(yè)機(jī)構(gòu)正在利用公有云測(cè)試和開(kāi)發(fā)軟件,但是將數(shù)據(jù)保存在云中的企業(yè)卻還是比較少。在某些情況下,他們錯(cuò)過(guò)了,因?yàn)樵拼鎯?chǔ)的成本遠(yuǎn)遠(yuǎn)比在內(nèi)部保存數(shù)據(jù)的成本低。但是有一些類(lèi)型的敏感數(shù)據(jù)是永遠(yuǎn)也不應(yīng)該保存在公有云中的,這一點(diǎn)得到了小組討論成員的認(rèn)同。
Google Apps安全總監(jiān)Eran Feigenbaum認(rèn)為,好消息是云現(xiàn)在已經(jīng)足夠安全讓企業(yè)可以用它來(lái)保存數(shù)據(jù)而不會(huì)感到他們承擔(dān)了某些風(fēng)險(xiǎn)。
Feigenbaum表示,來(lái)自主流云提供商的云基礎(chǔ)設(shè)施可能要比客戶(hù)他們自己運(yùn)營(yíng)數(shù)據(jù)中心更加安全放心。
他說(shuō):“以前,沒(méi)有人因?yàn)椴少?gòu)了IBM或者微軟產(chǎn)品而被解雇,而今天我們都在云里面了,F(xiàn)在,云提供商的責(zé)任是說(shuō)服你相信他們所做的都是安全可靠的!
考慮到谷歌是一家云提供商,所以他的話(huà)聽(tīng)上去有點(diǎn)為自己說(shuō)話(huà)。但是Bruce Schneier也表示認(rèn)同F(xiàn)eigenbaum的觀點(diǎn),Schneier是一位著名的密碼學(xué)家,同時(shí)也是馬薩諸塞州劍橋一家名為Co3 System安全廠商的首席技術(shù)官。
Schneier表示:“當(dāng)我們外包基礎(chǔ)設(shè)施的時(shí)候,我們這么做是因?yàn)槲覀冋辖?jīng)驗(yàn)獲得更好的結(jié)果。你不會(huì)運(yùn)營(yíng)自己的航空公司或者自己做稅款吧。有一個(gè)實(shí)體機(jī)構(gòu)來(lái)幫你做這些事情,這是有巨大價(jià)值的!
因?yàn)榘踩窃品⻊?wù)提供商業(yè)務(wù)的一個(gè)重要部分,所以“他們將做得更好”,Schneier這樣表示。
云廠商建議使用安全證書(shū)
小組討論成員建議,云提供商為客戶(hù)提供某種證書(shū),證明他們的云已經(jīng)滿(mǎn)足了安全保存數(shù)據(jù)的法律要求。
Schneier表示:“谷歌將會(huì)給我某種文檔。這是我們的審核;加入到你們的審核流程中。”除了訴訟情況下的追索權(quán)之外,“這還讓我作為云客戶(hù)感到能夠信任眼前這個(gè)人!
Feigenbaum表示,除了證書(shū)之外,廠商們應(yīng)該明確闡述他們?cè)诎踩碗[私方面的責(zé)任,不管是合同的還是技術(shù)的,明確客戶(hù)將能夠從使用他們的云中獲得什么。
他將這種情況比喻為信用卡的應(yīng)運(yùn)而生,人們直到明確了他們的責(zé)任之后才會(huì)放心使用信用卡。Feigenbaum表示:“在云中這相當(dāng)于什么呢?廠商將會(huì)給我怎樣的承諾呢?”
在云中保存數(shù)據(jù)的一個(gè)棘手場(chǎng)景是當(dāng)執(zhí)法機(jī)構(gòu)將一家廠商的服務(wù)器鎖定為調(diào)查的一部分。Feigenbaum表示,當(dāng)這種情況發(fā)生的時(shí)候谷歌經(jīng)常拒絕以確保請(qǐng)求是合理的。如果可能的話(huà),他們還要通知受調(diào)查的客戶(hù)。
雖然這種情況還沒(méi)有發(fā)生在微軟身上,但是微軟首席信息安全官Bret Arsenault表示,作為一家軟件巨頭,微軟也會(huì)拒絕這種請(qǐng)求!敖鉀Q這些事情有很多種技術(shù)方法,例如客戶(hù)有他們自己的密鑰能夠讓他們響應(yīng)批量數(shù)據(jù)請(qǐng)求!