虽然谷歌、亚马逊和Salesforce作为云计算服务提供商受到了最多的关注,但是,微软拥有一个完全属于自己的庞大的云计算银行:微软拥有从自己的数据中心提供的300个产品和服务。
今年5月,微软发表了一篇白皮书,介绍了微软云计算服务的方法以及微软计划如何保证这些服务的安全。微软负责监管该公司软件服务基础设施的全球基金服务(GFS)部门撰写的这篇白皮书明确说明了在线服务当前面临的危险,包括客户与为他们提供服务的公司之间日益增长的相互依赖性以及对互联网服务实施的越来越高级的攻击。
微软争辩说,微软在2002年提出的可信赖计算计划所创建的安全方法在经过一些修改之后在保证在线服务安全方面会做得同样好。
微软GFS部门业务和风险管理总经理Charlie McNerney说,如果我采用传统的安全原则的话,那在原则和方法方面就没有变化。已经扩大的东西是我们使用的控件数量。
对于微软保证云计算服务以及提供云计算的数据中心的安全的方法,McNerney和其他云计算提供商在最近接受采访时谈了他们的看法。他们谈到的微软提出的应该吸取的云计算的五个教训的是:
1. 与客户讨论风险问题。许多用户担心云计算服务的安全问题。这个问题是值得担心的。McNerney说,明确谁负责用户数据的安全是一个重要的谈话内容。当出现问题时,故障的情况如何和哪一方应该在这个环境中承担责任都应该是明确的。这是大型企业最想谈的问题。
但是,微软发现安全并不仅仅是他们最大的客户担心的问题。网站和电子邮件对于任何规模的企业都是非常重要的,都必须要保护。
McNerney说,我没有发现任何人是可以随便信任的。经营一家商业网站的小人物会像大人物一样关心安全问题。
2. 注意遵守法规。为了缓解客户的担心,微软投入了大量的时间组织了一些必要的控制措施以满足各种遵守法规的要求。
McNerney说,微软减少了26种不同类型的审计措施,把这些措施减少到了一个200个必要控制措施的列表,并且把这些措施映射到微软的数据中心环境和服务中。标准化意味着微软不必让每一个客户或者审计人员访问微软的数据中心。
大型企业客户要理解这些控制措施,但是,我能允许多少公司进入数据中心呢?如果你考虑这个事情应该怎样做的话,我是没有办法让这些客户进入我们的设施的。
微软采取的替代方法是有一个遵守法规的框架,允许审计者预订一个测试菜单并且得到测试结果。每一个公司都将要理解这些测试和结果。这里存在着机会和挑战。
3. 需要更好的标准。为了更好地为客户服务,大型云计算提供商需要进行合作以实现他们的平台的标准化。
McNerney说,亚马逊有一个观点。雅虎有一个观点。谷歌有一个观点。但是,我们所有的方法仍然是不同的。下一步是我们必须要合作提出一个框架。我们将必须要使用这个框架,使它成为网络上非常有效率的东西。
例如,这些公司需要就处理通用ID的方法达成一致意见。这些标准目前还没有解决互联网上的统一身份识别问题。
客户将指望云计算服务对于他们来说是一个相互兼容的环境。
4. 隐私和安全没有很大区别。McNerney说,随着微软在自己的服务和计算中心采用云计算,安全和隐私之间的区别几乎消失了。
McNerney说,这个结果是企业开发自己的管理安全和隐私的工具。安全和隐私的想法之间没有很大的区别。
大多数人用一种方法处理安全问题,用另一种方法处理隐私问题。在云计算中,这两种方法都混合在一起了。
5. 不要泛泛地谈论云计算安全。Web安全服务提供商ZScaler首席执行官Jay Chaudhry说,随着Windows Azure平台今年秋季推出,微软将有一套新的考虑。
Chaudhry争辩说,每一个云计算服务的安全考虑都是不同的。虽然提供办公应用程序、电子邮件服务和访问数据库等服务也许会很好地升级,但是,Exchange服务器等其它服务需要许多客户化设置,很难保证安全。
Chaudhry说,企业应该观察具体的方面并且恰当地解决这些问题。在整个云计算领域,没有一件事情能够单独完成。数据库服务、存储服务和安全漏洞评估服务都有不同的安全考虑。即将推出的Azure平台服务也是如此。