云供应商应该了解他们客户的什么
2012-04-19  作者:机房360 

  安全问题仍然是用户在部署云计算时最为关注的问题。有研究表明,不同的供应商采取了不同的安全功能,以保护云计算中的数据。而且IBM公司的步子可能迈得更大,他们不只是提供云计算中的数据的保护,同时对使用他们的云服务的客户进行调节。


  一份来自微软社区网站上的微软渠道合作伙伴的博客文章近日引述了IBM高管的采访实录:“客户不能简单地仅仅是提交了信用卡信息就可以签署使用IBM的服务了”。IBM全球技术服务部副总裁RichLechner指出,“IBM公司将监控每一位使用他们的云服务的客户,以便进一步了解客户真正的需求。”他说。


  IaaS供应商在允许个人客户将其的数据存储在云之前会进行审查吗?对于大多数IaaS供应商来说,这种情况微乎其微。CISO集团管理合伙人兼咨询顾问AlanShimel说。


  “你真的以为他们会对每位的客户详细信息诸如你是谁,你要存储什么样的数据逐一进行审查吗?”Shimel说。“不可能的。云计算的弹性很自然的决定了这样做几乎是不可能的,或者至少是成本太高。”Shimel指出,他不熟悉每一家具体的云服务提供商的安全政策,毕竟每一家供应商的策略都会有所不同。但一些大型公共云IaaS提供商,不可能掌握所有客户的标签信息。


  IBM的一位发言人不愿评论Lechner在上述博客中被引述的关于公司政策的采访。但是,Shimel还是认为,IBM的想知道个别客户的身份的另一个潜在原因是因为他们的云是针对企业用户,该公司可能会定制服务,以满足他们的需求。


  其他的IaaS供应商的策略则更模糊。Rackspace公司的一位发言人在一封电子邮件中写道,“维护客户的信任和客户数据的安全是我们的首要任务。”但她并没有提供详细的细节内容关于该公司如何确定客户信息及其存储在该公司的主机托管或云环境的数据的审批过程。


  亚马逊网络服务被许多人视为IaaS市场的领军,提供一些额外的细节。“我们不检查客户数据。”亚马逊网络服务的发言人KayKinton在一封电子邮件中写道。但是,她接着说,该公司使用“先进的筛选允许客户消费服务和规模,以防止欺诈和滥用,然后进行扩展。”亚马逊网络服务的要求客户提交一个电子邮箱地址、电话号码和信用卡信息才能使用其产品,然后发送一个PIN授予访问服务给客户。


  但Shimel还表示,客户不一定希望他们的IaaS服务提供商确切地知晓自己的客户到底是谁。他们更为关注的是安全问题,他说,一旦数据被存储到供应商的云,他们需要其数据得到真正的保护。


  “如果保安措施落实到位,供应商就可以确保即使是不需要的数据存储在云中,也不会有什么危害。”他说。做到这一点的最佳途径之一,是隔离客户的数据,这一议题供应商似乎更愿意公开讨论。


  例如,亚马逊网络服务注意到每位客户实例都具有其自己的防火墙,以防止云中的其他实例入侵。它使用数据包级隔离的网络流量,并支持的行业标准的加密,Kinton说。对于那些具有额外安全意识的客户,亚马逊网络服务提供了一个虚拟私有云(VPC),从而使客户拥有专用IP地址空间。她补充说,亚马逊已经获得诸如ISO27001、FISMA、SAS-70以及PCI认证。


  云和托管服务提供商VirtuStream解决方案架构的高级副总裁肖恩?詹宁斯,认为这是不现实的,他认为供应商应该审核个人客户的数据。“我觉得客户既然刷了信用卡,一般不会做一大堆的筛选。”他说。所以这种改变取决于供应商。例如,社区云:这是面向特定的垂直行业,如医疗或金融行业的云环境,越来越受欢迎,供应商可能会与个别客户更紧密,以便知道这些客户存储的是什么类型的数据,以便更好地优化供客户使用垂直行业的产品。


  Virtustream公司本身即是一家公共云提供商,詹宁斯说,隔离的数据是他的公司和其他大多数云供应商首要关注的问题。在Virtustream,每位客户都有一个专门的vLAN网络输入进入数据中心。在外围有防火墙,在虚拟交换机层也有有防火墙。这些保证了无论任何理由,任何形式的恶意软件都无法进入数据中心,更不能扩散。Virtustream备份了在数据中心监测的流量,并标记可疑的行为。不过,他表示,即使在一个专门的私人云环境,也可能有一些核心网络设备,如核心企业的交换机和路由器是整个数据中心和客户共享的。


  总体而言,詹宁斯说,不应该是供应商们来审核的客户和他们的数据,而应该是用户在选择将其数据存储到一家IaaS提供商之前,将认真验证IaaS提供商的安全功能作为自己义不容辞的责任。