不管是用哪種公共雲,安全性都是雲端服務供應商和你(服務使用者)的共同責任。對於IaaS產品來說,這通常意味著以下的責任分工:
| 雲端服務供應商 | 你 |
| 設備
實體安全 網路 基礎設施 虛擬層 |
作業系統
應用程式 資料 |
如果你曾經使用過AWS雲端服務,那你可能已經熟悉於這種模式。AWS一直在努力推廣此一模式給社群,所以現在其他服務供應商(以及像趨勢科技這樣的合作夥伴)就能夠利用這教育成果來幫助提高每個人在公共雲內的標準。
共同責任模式的成功關鍵在於確保你確認服務供應商的工作,然後集中精力在防護你責任範圍內的部分。
微軟的責任
微軟已經替Azure建立一個集中的安全性中心。微軟的Azure信任中心是個很棒的地方讓你可以確認微軟如何履行其對安全性的責任。 繼續閱讀
我常常會覺得有些人很奇怪,會開快車衝去機場還一邊講著手機,結果坐上飛機後卻開始祈禱著不會墜機。難道他們不知道想要安全抵達目的地,自己也承擔部分的責任嗎?
趨勢科技在討論新支付卡產業資料安全標準(PCI DSS)雲端運算準則的網路研討會中提醒到,雖然雲端服務可以有效地轉移掉資料中心的負擔,但不代表你的安全責任也是。(錯過這和Amazon和Accuvant一起的熱門網路研討會?點入這裡看重播)。
當組織在自己的資料中心內管理應用程式,他們控制也負責實體、網路和應用程式的安全。當組織將應用程式放入雲端環境時,他們也不能完全免除對自己應用程式安全性的責任,想要兩手一攤的說:「放到雲端服務上了,雲端服務供應商要負責。」因此就有了「責任分擔」或「風險分擔」的概念出現。公共雲供應商和雲端用戶需要共同對雲端應用程式的安全負責。
AWS(亞馬遜網路服務系統)詳述了雲端供應商和客戶所必須負的責任。
公共雲供應商(如AWS),通常會提供下列服務:
你(雲端用戶)要負責:
引用維基百科:
皮提亞,古希臘的阿波羅神女祭司,服務於帕納塞斯山上的德爾斐神廟。她以傳達阿波羅神的神諭而聞名,被認為能夠預見到未來。
亞馬遜網路服務(AWS)在二〇一二年十一月的第一次使用者大會門票被超訂而且銷售一空。因為該公司提供所有公共雲所需的基礎設施:Linux和Windows虛擬主機、資料庫、儲存空間、彈性負載平衡器、訊息…很明顯地,基礎設施即服務(IaaS)已經吸引了廣大的注意。在二〇一二年也看到了Google運算雲的出現,還有類似的服務來自微軟,以及惠普基於OpenStack所推出的公共雲,提供客戶許多現有Terremark、Joyent、Rackspace、DELL和其他IaaS公司之外的選項。高唱著降低成本和商品化的服務,讓消費者可以有多種選擇。而私有雲看來就只有VMware的vCloud和微軟私有雲在彼此競爭,提供給尋求商業化產品的客戶。同時OpenStack在開放原始碼產品上成為CloudStack和Eucalyptus的強大對手。顯然地,企業使用IaaS的日子已經到來。
所以2013年保持的IaaS什麼?
並非一切都歸於雲端。開發人員應該要能夠掌握雲端API。就好像雲端並不是虛擬化,也非簡單的只是雲端代管服務。雲端內的應用程式需要適用於雲端,應用程式的開發必須要能最大化地利用雲端平台,使用新的功能。
我們確實在期待未來一年會是雲端服務成熟和鞏固的時候。你對於IaaS在二〇一三年有什麼期待呢?
@原文出處:What does the Oracle at Delphi say about IaaS cloud offerings? 作者:Jonathan Gershater
◎即刻加入趨勢科技社群網站,精彩不漏網
作者:Greg Boyle 趨勢科技全球產品行銷經理
許多小型企業到目前依然對雲端運算抱持著懷疑的態度。他們懷疑雲端運算是否能在不招來嚴重風險的情況下提升他們的獲利能力。首先,讓我們來定義一下小型企業所謂的雲端運算。一般大家所認知的雲端運算有兩種:其一是軟體服務 (software-as-a-service),其二是基礎架構服務 (infrastructure-as-a-service)。
所謂的軟體服務 (簡稱 SaaS),就是將您平常辦公室所安裝的軟體改從網際網路來供應。有時候也稱為「代管」。
最常見的就是客戶關係管理 (簡稱 CRM) 系統。去年,全球有 26% 的 CRM 支出已經移轉到 SaaS 上,而且此一比例預計在 2015 年將成長至 33%。
而基礎架構服務 (簡稱 IaaS) 則是您向廠商租用資料中心的伺服器來執行您的 IT 環境,而不需自己購買硬體設備。最常見的 IaaS 範例就是網站代管服務。
此外,您可能還會聽到「公共雲端」或「私人雲端」這兩個名詞,簡單來說,公共運端就是將共用的運算資源放在您的企業外部,透過網際網路來存取。而私人雲端則是在您自己的公司內部建立一個資源共用基礎架構,然後透過內部網路服務公司內的所有使用者,而不在每一台使用者電腦上安裝軟體。
近十年內成立的小型企業一開始就是雲端的使用者
許多近十年內成立的小型企業,其實一開始就是雲端的使用者,只是企業並未意識到這點而已。這麼說並非故弄玄虛。我指的就是電子郵件和網站。
當新公司成立時,老闆採購了電腦之後的第一個想法,通常都是「設定一個電子郵件信箱」,再來就是「架設一個公司網站」,至於「購買一台伺服器」,則不是最優先的考量。事實上,90% 的小型企業都沒有自己的伺服器。
那麼,小型企業的電子郵件和網站由誰代管? 一般來說是他們的網際網路服務供應商 (ISP),這通常都隨附在寬頻網路連線套餐之內。基本上,這類由公共雲端所提供的應用程式與共用資源,就成了小型企業的 IT 基礎。 繼續閱讀
作者:趨勢科技雲端安全副總裁Dave Asprey
移動中的資料:雲端加密的另一面
你可能已經從我的部落格文章裡了解到加密儲存在雲端服務或傳統資料中心伺服器上資料的重要性了,但我很少討論到關於加密移動中資料的問題,許多人會認為「只要我們有用SSL / TLS和IPSec,就可以解決這問題。」事實上這只解決了部分問題。在雲端環境下使用這些技術並不夠完整,因為這些技術通常只保護網路流量到雲端網路的邊界,而在雲端網路內部伺服器間的流量就未受保護了。
利用通道(Tunnel)的作法在雲端網路上並無法真正發揮作用,由於這類技術是端點對端點的作法。而「端點」在雲端內的流動非常快,所以利用端點對端點的技術很可能會導致雲端網路內擴展、管理和性能上的問題。
我對Certes Networks要如何解決這問題非常好奇。他們剛剛發表vCEP(Virtual Certes Enforcement Point)。根據他們所公布的資料「vCEP是一款虛擬設備,可以讓企業保護敏感的網路資料在虛擬伺服器間以及雲端間流動,而不需要使用通道技術。它可以加密網路流量,不管是從IaaS雲端基礎架構經由廣域網路到資料中心,還是在雲端網路內部伺服器間的流量。」
什麼?加密網路流量而不需要用到通道技術?OSI模型是不是在發抖了。
雖然他們並不是家喻戶曉的名字,Cetres Networks的確是網路加密方面的領導者,他們在幾年前就有了第一個群組加密解決方案。基於群組的加密就不需要用到點對點金鑰交換,所以也不需要通道技術,讓加密移動中資料構變得具備擴展性和通透性。既然雲端網路上的設定會一直變動,可通透的加密變得非常重要。 繼續閱讀