金融服务行业的客户坚持认为,像亚马逊这样的公共云托pipe的SaaS不如私有数据中心的托pipe安全。 但是,我无法find这些安全缺陷可能的具体细节。 我只能想到两点不同:
对于(1)AWS已经过审计,以确保硬件的物理安全性。 我可以encryption所有静止数据(硬盘驱动器和数据库)和内部networking(VPC)上的所有数据。
对于(2)思科和梭子鱼提供在AWS中运行的虚拟安全设备。 我可以在Web服务器前面的一层中运行这些。
银行可以使用自己的数据中心的某些安全function,但无法在AWS上进行复制?
谢谢。
这可能不是一个安全的技术问题,而是一个完全控制和(解释)监pipe要求和合规的问题。
“1934年证券交易法” (经修订)包含有关电子logging备份和存档的规则17a-3和17a-4 。 金融业监pipe机构也有关于第三方提供商的规定,基本上说金融服务提供商不能免除合规义务,并将其推向第三方提供商。
所以,基本上如果亚马逊(暂时)丢失(获取)他们的数据,金融机构仍然承担全部责任,不能躲在亚马逊和他们的SLA之后。 在这方面你自己做,并保持100%的控制是一个金融机构的规范业务更重要。
亚马逊或者Rackspace在他们的日程安排上,而不是你自己的,或多或less不定期的重启,可能被认为是一个相当大的风险
一个技术问题是,许多金融机构使用的核心应用程序是经典应用程序,大型整体数据库和大量事务需要低延迟的应用程序,而这些应用程序根本不适合成功的云应用程序所需的模式。
亚马逊的服务条款或不像某些云提供商那样“坏”,但他们只提供实施合理和适当的措施,旨在帮助您保护您的内容免受意外或非法损失,访问或披露以及许多人所青睐的习惯性声明:应该预料到“没有任何forms的陈述或担保”
就在最近,由于安全漏洞,亚马逊必须重新启动部分基础设施(他们谈论的不到10%: http : //aws.amazon.com/blogs/aws/ec2-maintenance-update/ )。
当时的细节不明,因为他们在禁运之下。
现在很明显,这个Xen漏洞是它的原因: http : //xenbits.xen.org/xsa/advisory-108.html
引用:
有问题的或恶意的HVM访客可能会崩溃主机或读取数据
与其他客人或pipe理程序本身有关。
作为一个客户,你无法控制你的实例在哪里运行(如:你的“邻居”是谁)。
一家银行运行他们自己的数据中心或租用他们自己的私有云可以完全排除这样的妥协。
攻击者利用这显然不是微不足道的。
即使他拥有这样一个未知的漏洞,针对一个单独的网站几乎是不可能的。
如果避免使用公有云,那么这个研究所的风险评估是非常合适的。
如果您有物理上的访问权限,可以随时妥协。
有了亚马逊这个访问权限,你就比你自己的服务器在你自己的仓库里被黑客攻击了一步..我的意思是数据中心。
他们仍然需要解密你的数据,但是他们可以创build一个快照并离线解密(他们有一个巨大的数据中心在等待空闲的任务),5年后,他们知道你最大的客户,他有多less钱,如何他花在你的银行服务上,等等。
仅亚马逊,这不是一个问题。 像微软这样的其他玩家在都柏林附近build立了一个巨大的数据中心,完全处于无处不在的地方,而是在一个相同规模的巨大“面包厂”旁边。 他们只是在那里烤面包,真实的故事! ;)