现阶段随着云计算技术的不断发展,无论是公有云、私有云还是saas服务提供商,大多已经在服务中包含了CSP(cloud security provider)这样的边界安全防护产品或者方案,那为什么还需要CDSP(cloud data security provider独立的云数据安全服务商)这个角色呢?
企业一旦选择上云,作为企业核心资产的数据也会随之转移到云端,企业的担忧随之而来,数据上云,数据不在自己的手里了,安全问题谁来保障?如何保障?万一数据泄露了应该由谁来负责?
此外,政策法规层面越来越严格的约束,也让企业上云越加谨慎。其中,《网络安全法》、《刑法》修正案等等法律法规中对于网络运营者履行数据安全保护责任均提出明确规定。等级保护2.0 云计算扩展要求中对于审计数据的控制,云服务商和云服务客户的数据访问权限以及云端加密数据的密匙管理也都有明确要求。
2017年AWS上存储的180万伊利诺伊州选民的信息被泄露,给美国公民隐私安全和选举安全蒙上了一层阴影。2018年国内某云服务商,云盘故障,导致一用户三份备份数据离奇丢失,致使该用户平台业务全部停运,融资计划停止,造成了不可挽回的损失。
云平台作为数据寄存地,担负着保证最终客户、SaaS厂商数据所有权的神圣职责。实际上,云服务商也采取了一定的安全防护措施,例如防DDos,入侵检测,病毒查杀、应用防火墙等防护手段。但是这些传统的网络安全防护手段,仅仅停留在网络边界安全的防护层面,深入到数据层面的安全防护举措仍十分欠缺。因此,黑客攻击、内部运维人员监守自盗,数据被窃取和丢失的状况一直在发生。如何保证客户的数据安全和所有权?云平台感受如临深渊,如履薄冰。
种种关于数据安全保护的约束和担心成为笼罩在企业心中的愁云,阻碍了企业上云的脚步。面对这种情况,CDSP(cloud data security provider)独立云数据安全服务商这一角色的存在,成为当前解决这一阻拦的有效途径。
在安全领域里角色感很重要,哪些是CSP(cloud security provider)云平台做的,哪些是安华云安全这样的CDSP做的,哪些是第三方做的,都需要界定清楚。从服务商的角度看,每个公司的技术基因不同,区别于CSP更关心边界安全,将云安全服务落地主要集中在DDoS防护与Web应用防护等领域,CDSP作为独立的第三方数据安全服务商,在数据安全领域更专业,站在第三方立场,以第三方视角,真正从数据层入手,保障SaaS企业和云上用户的云上数据使用时的安全,确定安全责任,做好定级和监管以及提供数据安全整体防护体系的设计。
从用户的角度看,用户既然把数据放在云服务商那里,如果由第三方提供安全服务,肯定比两方更可靠,现实中银行金库的密码和钥匙不能由同一个人掌控,就是这个道理。Amazon之前出现的一些数据泄露问题,也与此有关。一句话,数据安全需要第三方。对于这一点,CSP和CDSP能够形成互补,共同守护云上数据安全。
