穿越云安全的迷霧 權(quán)衡好處與風(fēng)險(xiǎn)

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

隨著云計(jì)算的安全縫隙變得更加顯而易見(jiàn)，用戶(hù)開(kāi)始尋找保護(hù)數(shù)據(jù)安全的途徑。紐約投資銀行金融服務(wù)機(jī)構(gòu)Cowen公司CIO Daniel Flax依靠云計(jì)算實(shí)現(xiàn)公司銷(xiāo)售活動(dòng)自動(dòng)化。盡管他對(duì)云計(jì)算降低前期費(fèi)用、減少停機(jī)時(shí)間和支持額外的服務(wù)的潛力感到滿(mǎn)意，但他承認(rèn)他必須努力了解這項(xiàng)新興技術(shù)的安全弱點(diǎn)。他說(shuō)：“安全是我們必須直接面對(duì)的挑戰(zhàn)之一。”

設(shè)在多倫多和新斯科舍省Halifax的交互生產(chǎn)公司Stitch Media的所有者兼IT主管Evan Jones也擔(dān)心云計(jì)算安全問(wèn)題。他說(shuō)：“當(dāng)你把重要的公司數(shù)據(jù)交給第三方時(shí)，想起來(lái)就感到害怕?！?

同數(shù)量越來(lái)越多的IT經(jīng)理一樣，F(xiàn)lax和Jones開(kāi)始意識(shí)到云計(jì)算在安全方面沒(méi)有為公司提供免費(fèi)班車(chē)。去年發(fā)表的一份Gartner報(bào)告確定了對(duì)幾個(gè)領(lǐng)域中的安全風(fēng)險(xiǎn)的擔(dān)心，如數(shù)據(jù)隱私以及完整性與遵從性管理，這些擔(dān)心應(yīng)當(dāng)令那些考慮沖進(jìn)云計(jì)算的人放慢腳步。

Gartner分析師Jay Heiser警告說(shuō)：“企業(yè)，特別是那些屬于管制行業(yè)的企業(yè)，必須權(quán)衡云計(jì)算服務(wù)帶來(lái)的業(yè)務(wù)好處與風(fēng)險(xiǎn)?！?

云計(jì)算最大的風(fēng)險(xiǎn)之一源于其性質(zhì)：它允許數(shù)據(jù)被傳送和保存在幾乎任何地方――甚至分開(kāi)保存在世界不同位置。盡管數(shù)據(jù)散布幫助使云計(jì)算具有成本和性能優(yōu)勢(shì)，但不利之處是企業(yè)信息可能保存在放置在隱私法松弛或者甚至不存在的位置中的存儲(chǔ)系統(tǒng)中。

Flax使用Salesforce.com公司的Force.com平臺(tái)實(shí)現(xiàn)Cowen全球銷(xiāo)售系統(tǒng)自動(dòng)化。他說(shuō)確保數(shù)據(jù)避免存在風(fēng)險(xiǎn)的目的地的最佳辦法是與一家是上市公司的云廠(chǎng)商合作，由于是上市公司，因此法律要求該廠(chǎng)商披露它是如何管理信息的。

Flax說(shuō)，Salesforce.com是上市公司，“因此，我們對(duì)管理它們的數(shù)據(jù)中心的嚴(yán)格的流程和規(guī)定感到放心。”他說(shuō)：“我們知道我們的數(shù)據(jù)在美國(guó)，我們擁有有關(guān)我們談?wù)摰臄?shù)據(jù)中心的報(bào)告?！?

紐約州Troy市的Agora Games是一家建設(shè)視頻游戲玩家Web社區(qū)的公司。該公司對(duì)它的云計(jì)算提供商Terremark Worldwide將它的數(shù)據(jù)和應(yīng)用放在何處做不了主。但Agora的首席技術(shù)官Brian Corrigan說(shuō)，這種情況不久會(huì)改變。

他說(shuō)，Terremark不久將為Agora提供“挑選虛擬機(jī)實(shí)際上在何處運(yùn)行的選擇。目前，惟一的選擇是Miami的設(shè)施，但Terremark將增加其它位置，因此這將成為我們可以控制的問(wèn)題?！?

密切跟蹤

云計(jì)算散布的性質(zhì)也使跟蹤未經(jīng)授權(quán)的活動(dòng)充滿(mǎn)挑戰(zhàn)，即使在采用仔細(xì)的日志程序時(shí)。幾乎所有云計(jì)算提供商都使用加密技術(shù)，如安全套接層技術(shù)，來(lái)保護(hù)傳輸中的數(shù)據(jù)。但Heiser指出，確保存儲(chǔ)的數(shù)據(jù)被加密也很重要。他說(shuō)：“如果數(shù)據(jù)保存在共享環(huán)境中（這種情況很常見(jiàn)），你可以設(shè)想未加密的數(shù)據(jù)可能被未經(jīng)授權(quán)的人員閱讀?！?

Indian Harvest Specialtifoods是明尼蘇達(dá)州Bemidji市一家向世界各地的餐館配送大米、谷物和豆類(lèi)的公司。公司IT主管Mike Mullin說(shuō)，他依靠提供商N(yùn)etSuite公司來(lái)確保他發(fā)送到云中的數(shù)據(jù)得到全面的保護(hù)。他說(shuō)：“由于使用了SSL，我對(duì)我們的數(shù)據(jù)是安全的非常自信。如果不是這樣的話(huà)，我想很多人會(huì)遇到問(wèn)題，而整個(gè)云計(jì)算行業(yè)也會(huì)遇到問(wèn)題?！?

Mullin指出，云計(jì)算采用者還必須謹(jǐn)慎評(píng)估他們自己的基礎(chǔ)設(shè)施和安全實(shí)踐，尤其是訪(fǎng)問(wèn)控制。他說(shuō)：“你的基礎(chǔ)設(shè)施與提供商的基礎(chǔ)設(shè)施一樣存在弱點(diǎn)?！?

使用Amazon.com公司的S3云平臺(tái)與全布的全球的雇員和承包商共享文件的Jones也認(rèn)為訪(fǎng)問(wèn)控制至關(guān)重要。他說(shuō)：“我們發(fā)現(xiàn)當(dāng)我們分配不同的級(jí)別時(shí)，該系統(tǒng)能最好地滿(mǎn)足我們。”敏感級(jí)別最高的文檔根本不傳送到云中；它們被本地保存。Jones說(shuō)：“有一些文檔我們不準(zhǔn)備傳送到云中，但我要說(shuō)95%的文檔不屬于這個(gè)級(jí)別?！?

Corrigan說(shuō)，全面的云計(jì)算安全需要一種整體的實(shí)現(xiàn)方式。他建議：“為了取得超級(jí)安全的數(shù)據(jù)，從如何保存它們?nèi)胧郑缓蠼鉀Q如何傳輸它們。通過(guò)某種雙因素認(rèn)證方案管理訪(fǎng)問(wèn)。如果你真正擔(dān)心的話(huà)，你可以將你自己的認(rèn)證服務(wù)器保留在公司內(nèi)部――這保證你掌握控制權(quán)。”

遵從性問(wèn)題

由于云計(jì)算將業(yè)務(wù)數(shù)據(jù)交到外部提供商手中，因此它使法規(guī)遵從性變得比系統(tǒng)保留在公司內(nèi)部時(shí)的風(fēng)險(xiǎn)更大。失去直接的監(jiān)管意味著客戶(hù)公司必須驗(yàn)證服務(wù)提供商努力確保數(shù)據(jù)安全性和完整性堅(jiān)固可靠。

Heiser指出任何云計(jì)算提供商應(yīng)當(dāng)自愿進(jìn)行外部審計(jì)和安全認(rèn)證，以確保特定控制的質(zhì)量。他說(shuō)：“不愿意合作是個(gè)警告標(biāo)志。”

從業(yè)于嚴(yán)格管理的金融服務(wù)行業(yè)的Flax依靠SAS 70審計(jì)來(lái)確保他的云計(jì)算提供商符合政府和行業(yè)要求。他說(shuō)：“現(xiàn)在有規(guī)定數(shù)據(jù)中心的SAS 70審計(jì)有什么要求的標(biāo)準(zhǔn)?！?由美國(guó)認(rèn)證公共會(huì)計(jì)師協(xié)會(huì)開(kāi)發(fā)的SAS 70審計(jì)涉及數(shù)據(jù)傳輸與保存技術(shù)和實(shí)踐，包括網(wǎng)絡(luò)運(yùn)營(yíng)、數(shù)據(jù)保護(hù)和物理安全元素。

Flax說(shuō)：“我們非常仔細(xì)地閱讀了這些審計(jì)標(biāo)準(zhǔn)，因?yàn)橥瑢徲?jì)某個(gè)人的賬本一樣，僅僅由于審計(jì)是全面的并不意味著它們完全符合要求?！?

總的來(lái)看，IT經(jīng)理越來(lái)越意識(shí)到云計(jì)算的安全弱點(diǎn)并控制它們的事實(shí)表明采用者開(kāi)始現(xiàn)實(shí)地而不是透過(guò)有色眼鏡看待這種新興技術(shù)。

安全云計(jì)算五步走

了解云計(jì)算特有的松散結(jié)構(gòu)對(duì)傳送到它上面的數(shù)據(jù)安全有何影響。

確保云提供商能夠提供有關(guān)其安全架構(gòu)的詳細(xì)信息并愿意接受安全審計(jì)。

確保內(nèi)部安全技術(shù)和實(shí)踐，如網(wǎng)絡(luò)防火墻和用戶(hù)訪(fǎng)問(wèn)控制，可以很好地契合云安全措施。

了解法律、法規(guī)對(duì)傳送到云中的數(shù)據(jù)有何影響。

關(guān)注可能影響到數(shù)據(jù)安全的云技術(shù)和實(shí)踐的變化。（網(wǎng)界網(wǎng)）