云計(jì)算需要比IT外包更嚴(yán)格的安全審查

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

市場(chǎng)研究公司Forrester Research最新發(fā)表的題為《你的云計(jì)算有多安全?》的研究報(bào)告稱，云計(jì)算的安全漏洞需要比傳統(tǒng)的IT外包模式進(jìn)行更嚴(yán)格的審查。多租戶(Multi-tenancy)和缺少可見(jiàn)性等問(wèn)題令人擔(dān)憂。　　

Forrester分析師Chenxi Wang在這篇報(bào)告中稱，采用傳統(tǒng)的外包模式，客戶把自己的服務(wù)器放在其他人的數(shù)據(jù)中心，或者由服務(wù)提供商管理專門(mén)供那個(gè)客戶使用的服務(wù)器。但是，多租戶目前在云計(jì)算中占統(tǒng)治地位，客戶也許不知道自己的數(shù)據(jù)存儲(chǔ)在什么地方，或者這個(gè)數(shù)據(jù)是如何復(fù)制的。

Wang在報(bào)告中寫(xiě)道，云計(jì)算分離了數(shù)據(jù)與基礎(chǔ)設(shè)施的關(guān)系，掩蓋了低水平操作的細(xì)節(jié)，如你的數(shù)據(jù)在哪里和你的數(shù)據(jù)是如何復(fù)制的。多租戶在傳統(tǒng)的IT外部中是很少使用的，但是，在云計(jì)算中幾乎是必須使用的。這些區(qū)別引起了許多安全和隱私的問(wèn)題，不僅影響到你的風(fēng)險(xiǎn)管理做法，而且還影響到在遵守法規(guī)、審計(jì)和電子證據(jù)等方面的法律問(wèn)題評(píng)估。

軟件服務(wù)(SaaS)以及制作應(yīng)用程序的基于Web的平臺(tái)、托管服務(wù)器或者存儲(chǔ)容量等技術(shù)的興起讓許多業(yè)內(nèi)觀察人士評(píng)估云計(jì)算的好處和缺點(diǎn)。

Wang指出，美國(guó)電子隱私信息中心最近向美國(guó)聯(lián)邦貿(mào)易委員會(huì)投訴了谷歌，指控谷歌的安全和隱私控制是不充分的。

Wang引述波音公司首席安全設(shè)計(jì)師Steve Whitlock的話說(shuō)，同許多其它公司一樣，我們看到了向云計(jì)算過(guò)渡的巨大潛力和好處。但是，我們也看到了風(fēng)險(xiǎn)、安全問(wèn)題和兼容性問(wèn)題。要使云計(jì)算成為一個(gè)協(xié)作的安全地方，這個(gè)社區(qū)還有許多工作要做。Wang說(shuō)，雖然由于缺少可見(jiàn)性和控制，保證應(yīng)用程序和數(shù)據(jù)在云計(jì)算中的安全是很困難的，但是，用戶必須要努力評(píng)估廠商的安全和隱私做法。

Wang在報(bào)告中寫(xiě)道，企業(yè)必須考慮這些方面的問(wèn)題：數(shù)據(jù)保護(hù)、身份管理、安全漏洞管理、物理和個(gè)人安全、應(yīng)用程序安全、事件響應(yīng)和隱私措施。例如，用戶應(yīng)該要求了解廠商的加密系統(tǒng)、廠商如何保護(hù)靜止的和移動(dòng)的數(shù)據(jù)的安全、廠商提供給審計(jì)者的說(shuō)明文件、身份識(shí)別和接入控制程序、廠商是否有適當(dāng)?shù)臄?shù)據(jù)隔離和數(shù)據(jù)泄漏保護(hù)措施。

Wang在報(bào)告中寫(xiě)道，還有許多要解決的問(wèn)題，不僅是云計(jì)算的安全問(wèn)題，而且還有可靠性問(wèn)題。要避免這些缺陷，客戶需要一個(gè)服務(wù)級(jí)協(xié)議，具體規(guī)定一些詳細(xì)的責(zé)任條款和承擔(dān)的后果。事實(shí)是法律對(duì)待云計(jì)算中的數(shù)據(jù)域?qū)ΥF(xiàn)場(chǎng)的數(shù)據(jù)是不同的。這使有關(guān)責(zé)任的談判更加復(fù)雜。（IT專家網(wǎng)）