據(jù)《華盛頓郵報(bào)》與Pew Research的調(diào)查,超過半數(shù)(56%)的美國(guó)人對(duì)NSA出于反恐目的收集手機(jī)通話數(shù)據(jù)并監(jiān)控全球網(wǎng)絡(luò)表示理解。但是對(duì)于方興未艾的公有云行業(yè)來說,“棱鏡門”絕對(duì)是一個(gè)沉重打擊。
根據(jù)GigaOM的報(bào)道,在公有云三大模式PaaS、IaaS和SaaS中,SaaS以及目前常見的面向個(gè)人的各種云服務(wù)容易受到監(jiān)控,而PaaS和IaaS則要安全得多。從地域上來看,對(duì)NSA棱鏡門反應(yīng)最激烈的無疑是素來高度重視數(shù)據(jù)隱私的歐洲云計(jì)算市場(chǎng)。
SaaS用戶憂心忡忡
云安全創(chuàng)業(yè)公司Vaultive的首席執(zhí)行官Elad Yoran表示,NSA的PRISM項(xiàng)目曝光后,數(shù)十個(gè)用戶來電詢問使用SaaS應(yīng)用的企業(yè)如何保護(hù)數(shù)據(jù):
如今任何一家企業(yè)在選擇Google或者Office365云服務(wù)的時(shí)候,都會(huì)評(píng)估一下能否接受自己的數(shù)據(jù)躺在未加密的數(shù)據(jù)庫中,而有關(guān)政府部門隨時(shí)可以未授權(quán)訪問(審查)這些數(shù)據(jù)。
Yoran標(biāo)示目前還不清楚有多少公有云服務(wù)會(huì)受棱鏡門影響,被轉(zhuǎn)到私有云中。不過Yoran建議所有的企業(yè)在使用SaaS服務(wù)時(shí)確保數(shù)據(jù)無論在傳輸、使用或者存儲(chǔ)時(shí)都被加密。
為什么IaaS不受監(jiān)控
與SaaS模式的公有云服務(wù)相比,PaaS和IaaS模式要安全得多。審查或監(jiān)控特定IaaS虛擬主機(jī)中某個(gè)最終用戶的數(shù)據(jù)的難度極大,近似一個(gè)不可能完成的任務(wù)。IaaS提供商Joyent的首席技術(shù)官Jason Hoffman表示:
在IaaS空間實(shí)施監(jiān)控是不可能的,即使是服務(wù)提供商也無法在后臺(tái)提供能提取用戶數(shù)據(jù)源。這是IaaS技術(shù)架構(gòu)本身決定的。
例如,亞馬遜不知道AWS云的服務(wù)器中運(yùn)行著什么(數(shù)據(jù)),也無法訪問其中的虛擬機(jī),其難度就像惠普無法知道其客戶如何使用Moonshot服務(wù)器。
另外從法律角度看,政府可以根據(jù)第三方原則要求SaaS服務(wù)商提供用戶數(shù)據(jù)(例如Pinterest用戶的信息),但是如果這些SaaS應(yīng)用運(yùn)行在第三方云計(jì)算服務(wù)商的硬件上,例如亞馬遜AWS,政府將不能向AWS索要同樣的數(shù)據(jù)。
