云計(jì)算安全風(fēng)險(xiǎn)評估發(fā)布 列出7大風(fēng)險(xiǎn)

申請免費(fèi)試用、咨詢電話：400-8352-114

Gartner發(fā)布"云計(jì)算安全風(fēng)險(xiǎn)評估" 列出7大風(fēng)險(xiǎn)

據(jù)國外媒體報(bào)道，研究機(jī)構(gòu)Gartner近日發(fā)布一份名為《云計(jì)算安全風(fēng)險(xiǎn)評估》的報(bào)告，列出了云計(jì)算技術(shù)存在的7大風(fēng)險(xiǎn)。

亞馬遜的EC2和Google的App Engine是典型的云計(jì)算平臺(tái)。Gartner將這種類型的計(jì)算定義為“可大規(guī)模擴(kuò)展的IT能力，通過互聯(lián)網(wǎng)技術(shù)向外部客戶提供服務(wù)”。 Gartner表示，云計(jì)算需要進(jìn)行安全風(fēng)險(xiǎn)評估的領(lǐng)域包括數(shù)據(jù)完整性、數(shù)據(jù)恢復(fù)及隱私等。此外，還需對電子檢索、可監(jiān)管性及審計(jì)問題進(jìn)行法律方面的評價(jià)。以下是Gartner列出的云計(jì)算7大風(fēng)險(xiǎn)：

1.特權(quán)用戶的接入

在公司外的場所處理敏感信息可能會(huì)帶來風(fēng)險(xiǎn)，因?yàn)檫@將繞過企業(yè)IT部門對這些信息“物理、邏輯和人工的控制”。企業(yè)需要對處理這些信息的管理員進(jìn)行充分了解，并要求服務(wù)提供商提供詳盡的管理員信息。

2.可審查性

用戶對自己數(shù)據(jù)的完整性和安全性負(fù)有最終的責(zé)任。傳統(tǒng)服務(wù)提供商需要通過外部審計(jì)和安全認(rèn)證，但一些云計(jì)算提供商卻拒絕接受這樣的審查。面對這樣的提供商，用戶只能用他們的服務(wù)做一些瑣碎的工作。

3.數(shù)據(jù)位置

在使用云計(jì)算服務(wù)時(shí)，用戶并不清楚自己的數(shù)據(jù)儲(chǔ)存在哪里，用戶甚至都不知道數(shù)據(jù)位于哪個(gè)國家。用戶應(yīng)當(dāng)詢問服務(wù)提供商數(shù)據(jù)是否存儲(chǔ)在專門管轄的位置，以及他們是否遵循當(dāng)?shù)氐碾[私協(xié)議。

4.數(shù)據(jù)隔離

在云計(jì)算的體系下，所有用戶的數(shù)據(jù)都位于共享環(huán)境之中。加密能夠起一定作用，但是仍然不夠。用戶應(yīng)當(dāng)了解云計(jì)算提供商是否將一些數(shù)據(jù)與另一些隔離開，以及加密服務(wù)是否是由專家設(shè)計(jì)并測試的。如果加密系統(tǒng)出現(xiàn)問題，那么所有數(shù)據(jù)都將不能再使用。

5.數(shù)據(jù)恢復(fù)

就算用戶不知道數(shù)據(jù)存儲(chǔ)的位置，云計(jì)算提供商也應(yīng)當(dāng)告訴用戶在發(fā)生災(zāi)難時(shí)，用戶數(shù)據(jù)和服務(wù)將會(huì)面臨什么樣的情況。任何沒有經(jīng)過備份的數(shù)據(jù)和應(yīng)用程序都將出現(xiàn)問題。用戶需要詢問服務(wù)提供商是否有能力恢復(fù)數(shù)據(jù)，以及需要多長時(shí)間。

6.調(diào)查支持

在云計(jì)算環(huán)境下，調(diào)查不恰當(dāng)?shù)幕蚴欠欠ǖ幕顒?dòng)將難以實(shí)現(xiàn)，因?yàn)閬碜远鄠€(gè)用戶的數(shù)據(jù)可能會(huì)存放在一起，并且有可能會(huì)在多臺(tái)主機(jī)或數(shù)據(jù)中心之間轉(zhuǎn)移。如果服務(wù)提供商沒有這方面的措施，那么在有違法行為發(fā)生時(shí)，用戶將難以調(diào)查。

7.長期生存性

理想情況下，云計(jì)算提供商將不會(huì)破產(chǎn)或是被大公司收購。但是用戶仍需要確認(rèn)，在發(fā)生這類問題的情況下，自己的數(shù)據(jù)會(huì)不會(huì)受到影響。用戶需要詢問服務(wù)提供商如何拿回自己的數(shù)據(jù)，以及拿回的數(shù)據(jù)是否能夠被導(dǎo)入到替代的應(yīng)用程序中。（e800）