爱德华•斯诺登(Edward Snowden)泄露的有关美国国家安全局(NSA)间谍活动的信息可能让云安全问题引起了公众的广泛关注,但一些企业用户已经开始担心如何在保证数据安全的同时利用云应用。
因此,企业、基于云的应用程序供应商和安全初创企业都在努力想出使云更安全的点子。
核心的主要问题是,基于云的软件即服务(SaaS)提供商必须查看数据,才能对其进行任何有用的操作。例如,在线字处理应用程序必须能够阅读文档,以便提供拼写检查功能。在线存储供应商必须能够读取存储的文档,以便用户能够搜索他们需要的文档。
由于云计算供应商必须能够在某个时候看到实际数据,也就是当某个流氓雇员、黑客或政府机构可能介入并获取数据副本时。
一些企业选择放弃使用云应用带来的成本节约和便利,转而使用本地软件。信息技术与创新基金会8月份的一份报告显示,由于安全方面的担忧,美国云计算行业在未来三年可能会损失220亿至250亿美元。
为了解决这个问题,SaaS供应商和他们的客户正在转向一种新的云安全解决方案。
一般来说,这些网关主要分为两类:在将数据传递给云供应商之前对其进行加密或标记的本地网关,以及限制供应商访问数据同时允许客户控制密钥的第三方加密设备。
代理和网关
与代理或网关,企业安装处所的加密设备,在他们的控制,甚至在像亚马逊公有云提供商的虚拟机的数据中心。雷竞技电脑网站公司用户希望访问自己喜爱的云服务被发送到代理代替,其中,对用户完全不可见,对数据进行加密或标记化它熄灭之前,当它回来的解密。
这种方式对欧洲公司尤其有吸引力,因为欧洲的法规限制了某些类型数据的跨境程度。
云供应商实际上从来没有看到过纯形式的数据,即使在使用它的时候也是如此。供应商使用各种策略来确保云供应商能够处理加密的数据。
位于圣何塞的CipherCloud公司,在这个领域的领先供应商之一,看到收入增加了200%这个夏天之后相比去年同期的NSA泄漏出来。
该公司高级副总裁Paige Leidig表示:“这是我们有史以来表现最好的一个季度,尤其是在欧洲和亚洲。”
据公司首席执行官普拉温科塔里,200万的最终用户正在使用CipherCloud网关,这对于很多流行的云产品,包括Salesforce的,颤振,Gmail中,Office 365中,亚马逊网络服务,和Box.net提供安全保护。
该产品的工作方式是,CipherCloud网关提供云应用提供商,如搜索和排序所需的最常用的功能。这实际上是一起云应用程序传递的数据是完全加密,使用对称加密,几个数量级比通常用于互联网通信的asymmetic加密更安全。
客户也可以选择使用标记化保护他们的数据。不同于加密,它使用一个数学公式来转换文本,标记化使用码本方法,将具有对于每条信息,要被固定的需求不同的随机产生的代码。断词经常被用来保护社会保险或信用卡号。
该公司正在迅速增加其他云服务的连接器,但它也提供了一个标准工具包,公司可以使用它来建立对任何他们想要的云服务的访问。
“我们公司的目标是确保用户看不出差别,”科塔里说CSO。“有一个在用户行为没有任何变化。所有人都喜欢seraching,整理和报告操作继续工作,即使在云中的数据完全加密。”
让密云与众不同的是它所支持的广泛的云服务,Kothari说。“现实情况是,大多数客户考虑的不仅仅是单个云应用程序。”
类似的方法采取的是总部位于多伦多的公司PerspecSys,例如,客户能够建立自己的网关使用加密或令牌化,甚至在清澈留下一些数据。PerspectSys目前提供现成去连接到Oracle托管型CRM,Salesforce.com,Xactly公司Incent,基石上的需求,和Oracle融合。通常情况下,网关是买和企业用户安装,但现在的云应用厂商自己正在寻找能够提供这种技术。
PerspectSys公司首席执行官David Canellos对CSO表示:“我们与软件即服务(SaaS)供应商有合作关系,他们希望提供高端版本的解决方案。我们正在与他们合作,引入我们的技术,让他们能够为客户提供数据安全版本。”
此外,一些国际供应商代表特定国家的客户托管了PerspectSys网关。
“一些国家有数据居留权或sovereingty法律,” Canellos说。“我们有世界上,人们外包perspectSys的管理网关到托管服务提供商很多情况下。”
与CipherCloud一样,PerspectSys也提供了一个工具包,允许公司为新的云应用程序创建适配器。
另一种方法,一些厂商采取的是用加密的形式,保留搜索和整理数据的能力。
总部位于纽约的公司Vaultive,提供了一个网关到Office 365的Exchange平台,并计划增加对其他微软云产品的支持。
该应用程序目前支持邮箱、日历、笔记和任务。
该公司联合创始人兼首席战略官Ben Matzkel表示,"目前的支持是针对Exchange有望提供的所有服务端业务。"“电子搜索。合法持有。个人档案。过滤。预防数据丢失。在大多数情况下,所有这些事情都需要某种对数据的洞察。”
为了做到这一点,Vaultive将“著名的加密算法、工具和加密哈希”与额外的元数据结合在一起,使得云应用可以继续对加密数据执行操作,并获得纯文本一样的结果。
Matzkel告诉CSO:“它用于索引、排序、创建报告、连接来自不同来源的数据并将它们关联起来。”“如果你在做一些类似拼写检查的事情,实际的单词需要进入应用程序才能正常工作,我们可以在代理程序中实现它。”
这种方法有一些缺点,但是。
总部位于巴尔的摩的SafeNet公司的首席战略官,安全专家Tsion Gonen说:“很多功能保留的加密方法都不那么安全。”“你必须在安全和保护功能之间做出妥协。但如果你有合规问题,这肯定比什么都没有强。”
这种方法的另一个潜在的缺点是不能保留所有的功能。例如,任何类型的加密都不允许进行拼写检查。供应商通常将此功能转移到代理本身。
“但它确实繁琐,需要很长的时间,”戈南告诉CSO。“而长期能公司是如何做到这一点?每次云供应商隆重推出了新的版本,他们必须再次这样做。”
加密设备
如果一家公司愿意让供应商暂时看到,以处理它的明文数据,几家供应商都提供加密设备。这些都是物理机或虚拟机,同时确保供应商在使用加密和解密数据存储的数据是完全加密的 - 而没有让供应商看到了钥匙。
这些供应商包括特拉维夫的Porticor Ltd.,奥斯汀的Gazzang, Inc.和圣约瑟的Vormetric, Inc.。
Porticor联合创始人、营销副总裁阿里尔•丹(Ariel Dan)说,医疗服务提供商和支付公司等受监管行业是加密设备的早期采用者。
“Porticor作为一个附加的虚拟实例部署在供应商的环境中,”Dan告诉CSO。“所有通过Porticor的信息都被加密,所有传递回供应商的信息都被解密。”
其结果是,由供应商所存储的所有数据是在加密状态下,并且供应商不具有密钥。同样没有Porticor - 客户持有的钥匙,并决定何时使用它们。
只有很少的数据被公开,而且只公开很短的时间。理论上,对供应商应用程序有深入了解的黑客可以在使用数据时获取这些数据,但需要付出的努力将是巨大的。
“这为保护数据不受黑客攻击增加了一个重大障碍,”丹说。
Porticor声称区分自己从其他公司在这个空间与一个独特的“同态开口键”系统基于数学算法,允许通过的关键客户Porticor设备以加密的形式,所以,即使被盗,黑客无法使用它来存储数据解密。
另一家拥有类似加密设备的供应商是位于奥斯汀的Gazzang, Inc.,该公司专注于医疗保健和金融行业客户以及为这些客户提供服务的云供应商。
其中一位客户是伊利诺伊州罗克福德。该公司使用Gazzang的zNcrypt设备来确保其工具的安全,当时他们决定向客户提供基于云的版本。
“我们的客户最大的担忧之一是他们财务信息的安全,”ScenarioNow首席执行官帕特里克•沙利文(Patrick Sullivan)在一份声明中表示。
Gazzang的zNcrypt增加了额外的安全级别,允许企业决定云供应商何时以及如何访问他们的数据。
Gazzang的首席执行官Larry Warnock告诉CSO,“你真正想要的是让SaaS供应商能够获取数据,进行日常处理,但备份或复制等需要特别许可。”“所以,如果同时访问了50多条记录,这很可能是一种不法行为。有了支持策略的关键管理器,SaaS供应商甚至可以要求对某些功能进行多因素身份验证。”
该公司表示,其他使用Gazzang的SaaS供应商包括Appcelerator、Castlight、Everbridge和Fireapps。
这些供应商中最著名的是Vormetric,它主要被企业内部用来保护他们的数据,允许他们的加密密钥由安全经理控制,这样IT部门的任何人都不能访问敏感数据。据该公司称,《财富》25家公司中有17家是其客户,其中包括五大商业银行中的4家。
越来越多的SaaS供应商使用Vormetric工具来锁定他们的云应用程序,并将钥匙交到客户手中。除了加密静止数据和保护密钥,Vormetric设备还允许细粒度的访问控制。
Vormetric的首席执行官Alan Kessler告诉CSO:“只有经过批准的用户、流程和应用程序才能看到这些数据。”
仍然不完美
当涉及到安全,没有绝对的保证。
即使供应商声称没有获得加密密钥,事情还是可以去错了,在总部位于纽约的451 Research的分析师阿德里安Sanabria的说。
“这仍然不能保证他们或政府没有后门钥匙,”他告诉CSO。
例如,安全公司RSA最近警告客户不要使用它的随机数生成器,因为它被美国国家安全局入侵。
甚至基于硬件的加密可以潜在右在将芯片制成,或者在设计过程工厂受到损害。
“还有一些仿冒产品,比如假冒的思科产品,它们看起来几乎一模一样,但内部结构不同,”他说。
最后,他说,我们的目标是管理风险,使用安全的最高级别的可用于最敏感的数据。
这个故事,“SaaS供应商,客户,寻找新的方法,以确保云”最初发表CSO 。