摘要:亚马逊网络服务正在拓展其安全产品,包括新增侵入保护装置和更强大的加密功能,旨在提升用户在访问使用云服务时的安全性。 |
亚马逊网络服务正在拓展其安全产品,包括新增侵入保护装置和更强大的加密功能,旨在提升用户在访问使用云服务时的安全性。
在仍然存在的安全挑战环境下,亚马逊正寻求在其云平台上提供与传统软硬件同等级别的安全性。
通常企业都会认为在云上无法获得像本地系统那样的安全性,但这只是错觉而已。AWS首席信息安全管Stephen Schmidt说。
“例如,他们担心访问控制;网络周边设备控制,以及能否在符合自身特殊需求和实施标准下建设网络这些问题,但在大多数案例下,我们发现,其实在云中,他们不仅可以控制这些问题,甚至还有一些更细致的控制权。”
关于云上的资源相互隔离的问题也有诸多误解。“有些人空凭理论就说‘理论上在某些实例下,可以通过管理程序之间的侧面渠道访问其他虚拟机上的东西’,但这些所谓的理论有经过试验验证吗?事实上根本不是这样。”虚拟私有云服务可以让用户在亚马逊云上配置一个逻辑上分离的区域,可以完全避免这种威胁。Schmidt说。
亚马逊目前正在与合作伙伴共同努力,让企业可以把安全装置安装到云上,包括用于入侵防御和预防的虚拟设备。据Schmidt说这将能让企业更好的解决他们常常所担心的通过占用大量带宽进行的拒绝服务(DOS)这样的攻击。
“很显然私人公司自己是付不起这样的安全网络接入服务的,但在我们这里就可以很方便便宜的获得。此外,他们也无需再去找网络专家去应付大规模迁移中的网络攻击或是其他什么问题了,这些我们都已经帮他们做了。”
另外,亚马逊也将增强加密方式,帮助用户更好的保护数据。
“短期来说我们会在小型的和零碎的数据上施行这种加密。”
亚马逊的加密功能改进计划已经随着将甲骨文透明数据加密技术引入其关系数据库服务(RDS)而开始,伴随的还有CloudHSM——一种使用独立设备保护密钥的服务。
“所以你看,我们所做的就是,给用户工具,让他们去创建加密的基础设施,只对他们许可的人开放访问,不管是他们企业内部的人或者是我们的工作人员。”
亚马逊安全产品里的一个关键部分已经通过了多项认证。
“对于某些行业来说这绝对是必须有的,比如我们把Amazon.com网站迁移到AWS上后我们就要顺从PCI,因为有信用卡传输卷。对于要迁移到AWS的政府机构,我们则要遵从他们的规则和制度,是美国政府就按美国政府要求来,是英国政府就按英国政府要求来。”
对于非必需进行遵从认证(包括ISO 27001)的组织机构,我们也在让他们了解我们的安全实践是怎样的。Schmidt说。
亚马逊仍在努力的一项认证是联邦风险与授权管理计划(FedRAMP)——一个旨在推进云服务安全评估、授权和持续监控标准化的政府项目。
“这个项目正在进行中,美国政府一直还很不确定如何推进这一项目,评估标准也一直有所变化,但希望能尽快定下来,因为我们非常期待通过这项认证。”Schmidt说。
政府组织和机构可以通过FedRAMP而不必自己费钱费力去做评估。如今不同的机构的评估能力参差不齐,一旦FedRAMP项目落实以后,就能消除这种差异,促进政务部门里更好的标准推行和执行。
责任编辑:GOCN