RSA: n Coviello: Cloud Computing ei ole tarpeeksi varma

Cloud-pohjaiset palvelut on avattu ilman riittävää huomiota näiden palvelujen ja niiden käsittelemien tietojen turvaamiseen. Tämä oli RSA Securityn tilaaman äskettäisen tutkimuksen löytäminen.

Vaikka raportin havainnot ovat hälyttävää, näiden palvelujen tarjoajille on vielä aika puuttua ongelmaan, sanoo Art Coviello, EMC: n varatoimitusjohtaja ja RSA: n toimitusjohtaja turvallisuus. Avain on tarkastella turvallisuutta kiinteänä osana palvelua eikä lisäominaisuutta, hän sanoi.

Coviello äskettäin istui IDG News Servicein kanssa keskustellakseen pilvipalvelujen turvallisuudesta.

IDG News Service: Oliko yllättynyt raportin havainnoista?

Art Coviello: Se oli hätkähdyttävää minulle, että paljon tätä pilvitietojärjestelmää tehtiin turvallisuuden takia, koska katselin pilvilaskennan mahdollisuuden todella muuttaa tapaa, jolla ihmiset lähestytään turvallisuutta. Pohjimmiltaan uudistat informaatiorakennetta alusta lähtien. Vuosia ennen kuin kaikki nämä vanhat järjestelmät siirtyvät, joko sisäisiin, yksityisiin pilviin tai ulkoisiin pilviin tai jonkinlaiseen yhdistelmään. Viime kädessä se on siellä, missä se johtaa ja sen vuoksi, koska meillä on tietoa ja ennakoimme kaikista asioista, joita olemme saaneet turvallisuudessa viimeisen kymmenen vuoden aikana.

Voisimme ajatella, että olemme oppineet oppiaiheemme rakennuksesta Turvallisuus on sanottu. Se on vielä hyvin alkuaikoina. Vaikka tutkimus on hälyttävää, en välttämättä pidä ratkaisevana sitä, että näin käy.

IDGNS: On osa ongelmaa, että myyjät eivät ole välttämättä vastuussa kaikista riskeistä nämä palvelut? Ovatko palvelut turvallisempia, jos heidän täytyisi ottaa kaiken tämän riskin kokonaan?

Coviello: Se voi olla, jos henkilö, joka ostaa nämä palvelut, ei ole varovainen. Mutta on vaikea kuvitella, että näiden palvelujen vastuullinen tarjoaja tahallaan antaisi tarjouksensa turvattomaksi. Voi heitä, he ovat poissa liikenteestä melko nopeasti. Yksi asia, jonka voit olla varma, on, jos jossakin näistä palveluista on jonkin tietoturvan loukkaus, joku aikoo ottaa infrastruktuurinsa ja mennä muualle.

IDGNS: Miten yritys tietää, että pilvipalveluiden tarjoaja tarjoaa turvallista palvelua?

Coviello: Yritykset on keino ja taito arvioida pilvipalvelun tarjoajan kykyä ja kykyä turvallisuuteen, ja he olisivat tyhmät olla tekemättä perusteellista tutkimusta, koska he ulkoistaa kaiken.

IDGNS: Mikä on mielestänne suurin turvallisuusheikkous pilvipalveluihin?

Coviello: On liian aikaista kertoa. Kuinka monta tapausta näet pilvilaskennasta siellä? Voin antaa sinulle useita paikkoja, joissa voi olla turvattomuutta. Mitä ihmiset yleensä pelkäävät, on tietojen yhdistäminen ja se on luultavasti vähiten ihmisten huolia, koska tietojen jako on helppoa. Mitä heidän pitäisi olla enemmän huolissaan siitä, mitkä ovat pääsynvalvonta, mitä todentamismekanismit ovat, miten varmistat, että tiedot eivät jollakin tavalla vuotaa jollekulle ulkopuolelle.

Olin huolissani näistä asioista, mutta nämä ovat asioita jotka on määrä tutkia ja kehittää, kun ihmiset alkavat tuntea mitä pilvipalveluilla on kyse.