哪一个更安全:把数据保存在云里,还是留在自己内部?
本周在旧金山举行的RSA 2014大会上,来自微软、谷歌和其他云厂商的安全专家们在小组讨论中就这个话题进行了激烈的争论。厂商们认同,让客户把数据保存在云中是建立信任的问题,但是他们对如何实现这个目标有不同的看法。
虽然很多企业机构正在利用公有云测试和开发软件,但是将数据保存在云中的企业却还是比较少。在某些情况下,他们错过了,因为云存储的成本远远比在内部保存数据的成本低。但是有一些类型的敏感数据是永远也不应该保存在公有云中的,这一点得到了小组讨论成员的认同。
Google Apps安全总监Eran Feigenbaum认为,好消息是云现在已经足够安全让企业可以用它来保存数据而不会感到他们承担了某些风险。
Feigenbaum表示,来自主流云提供商的云基础设施可能要比客户他们自己运营数据中心更加安全放心。
他说:“以前,没有人因为采购了IBM或者微软产品而被解雇,而今天我们都在云里面了。现在,云提供商的责任是说服你相信他们所做的都是安全可靠的。”
考虑到谷歌是一家云提供商,所以他的话听上去有点为自己说话。但是Bruce Schneier也表示认同Feigenbaum的观点,Schneier是一位著名的密码学家,同时也是马萨诸塞州剑桥一家名为Co3 System安全厂商的首席技术官。
Schneier表示:“当我们外包基础设施的时候,我们这么做是因为我们整合经验获得更好的结果。你不会运营自己的航空公司或者自己做税款吧。有一个实体机构来帮你做这些事情,这是有巨大价值的。”
因为安全是云服务提供商业务的一个重要部分,所以“他们将做得更好”,Schneier这样表示。
云厂商建议使用安全证书
小组讨论成员建议,云提供商为客户提供某种证书,证明他们的云已经满足了安全保存数据的法律要求。
Schneier表示:“谷歌将会给我某种文档。这是我们的审核;加入到你们的审核流程中。”除了诉讼情况下的追索权之外,“这还让我作为云客户感到能够信任眼前这个人。”
Feigenbaum表示,除了证书之外,厂商们应该明确阐述他们在安全和隐私方面的责任,不管是合同的还是技术的,明确客户将能够从使用他们的云中获得什么。
他将这种情况比喻为信用卡的应运而生,人们直到明确了他们的责任之后才会放心使用信用卡。Feigenbaum表示:“在云中这相当于什么呢?厂商将会给我怎样的承诺呢?”
在云中保存数据的一个棘手场景是当执法机构将一家厂商的服务器锁定为调查的一部分。Feigenbaum表示,当这种情况发生的时候谷歌经常拒绝以确保请求是合理的。如果可能的话,他们还要通知受调查的客户。
虽然这种情况还没有发生在微软身上,但是微软首席信息安全官Bret Arsenault表示,作为一家软件巨头,微软也会拒绝这种请求。“解决这些事情有很多种技术方法,例如客户有他们自己的密钥能够让他们响应批量数据请求。”