哪一個更安全:把數據保存在云里,還是留在自己內部?
本周在舊金山舉行的RSA 2014大會上,來自微軟、谷歌和其他云廠商的安全專家們在小組討論中就這個話題進行了激烈的爭論。廠商們認同,讓客戶把數據保存在云中是建立信任的問題,但是他們對如何實現這個目標有不同的看法。
雖然很多企業(yè)機構正在利用公有云測試和開發(fā)軟件,但是將數據保存在云中的企業(yè)卻還是比較少。在某些情況下,他們錯過了,因為云存儲的成本遠遠比在內部保存數據的成本低。但是有一些類型的敏感數據是永遠也不應該保存在公有云中的,這一點得到了小組討論成員的認同。
Google Apps安全總監(jiān)Eran Feigenbaum認為,好消息是云現在已經足夠安全讓企業(yè)可以用它來保存數據而不會感到他們承擔了某些風險。
Feigenbaum表示,來自主流云提供商的云基礎設施可能要比客戶他們自己運營數據中心更加安全放心。
他說:“以前,沒有人因為采購了IBM或者微軟產品而被解雇,而今天我們都在云里面了,F在,云提供商的責任是說服你相信他們所做的都是安全可靠的!
考慮到谷歌是一家云提供商,所以他的話聽上去有點為自己說話。但是Bruce Schneier也表示認同Feigenbaum的觀點,Schneier是一位著名的密碼學家,同時也是馬薩諸塞州劍橋一家名為Co3 System安全廠商的首席技術官。
Schneier表示:“當我們外包基礎設施的時候,我們這么做是因為我們整合經驗獲得更好的結果。你不會運營自己的航空公司或者自己做稅款吧。有一個實體機構來幫你做這些事情,這是有巨大價值的。”
因為安全是云服務提供商業(yè)務的一個重要部分,所以“他們將做得更好”,Schneier這樣表示。
云廠商建議使用安全證書
小組討論成員建議,云提供商為客戶提供某種證書,證明他們的云已經滿足了安全保存數據的法律要求。
Schneier表示:“谷歌將會給我某種文檔。這是我們的審核;加入到你們的審核流程中。”除了訴訟情況下的追索權之外,“這還讓我作為云客戶感到能夠信任眼前這個人。”
Feigenbaum表示,除了證書之外,廠商們應該明確闡述他們在安全和隱私方面的責任,不管是合同的還是技術的,明確客戶將能夠從使用他們的云中獲得什么。
他將這種情況比喻為信用卡的應運而生,人們直到明確了他們的責任之后才會放心使用信用卡。Feigenbaum表示:“在云中這相當于什么呢?廠商將會給我怎樣的承諾呢?”
在云中保存數據的一個棘手場景是當執(zhí)法機構將一家廠商的服務器鎖定為調查的一部分。Feigenbaum表示,當這種情況發(fā)生的時候谷歌經常拒絕以確保請求是合理的。如果可能的話,他們還要通知受調查的客戶。
雖然這種情況還沒有發(fā)生在微軟身上,但是微軟首席信息安全官Bret Arsenault表示,作為一家軟件巨頭,微軟也會拒絕這種請求!敖鉀Q這些事情有很多種技術方法,例如客戶有他們自己的密鑰能夠讓他們響應批量數據請求!