穿越云安全的迷霧 權(quán)衡好處與風(fēng)險

申請免費試用、咨詢電話：400-8352-114

隨著云計算的安全縫隙變得更加顯而易見，用戶開始尋找保護數(shù)據(jù)安全的途徑。紐約投資銀行金融服務(wù)機構(gòu)Cowen公司CIO Daniel Flax依靠云計算實現(xiàn)公司銷售活動自動化。盡管他對云計算降低前期費用、減少停機時間和支持額外的服務(wù)的潛力感到滿意，但他承認(rèn)他必須努力了解這項新興技術(shù)的安全弱點。他說：“安全是我們必須直接面對的挑戰(zhàn)之一?！?

設(shè)在多倫多和新斯科舍省Halifax的交互生產(chǎn)公司Stitch Media的所有者兼IT主管Evan Jones也擔(dān)心云計算安全問題。他說：“當(dāng)你把重要的公司數(shù)據(jù)交給第三方時，想起來就感到害怕?！?

同數(shù)量越來越多的IT經(jīng)理一樣，F(xiàn)lax和Jones開始意識到云計算在安全方面沒有為公司提供免費班車。去年發(fā)表的一份Gartner報告確定了對幾個領(lǐng)域中的安全風(fēng)險的擔(dān)心，如數(shù)據(jù)隱私以及完整性與遵從性管理，這些擔(dān)心應(yīng)當(dāng)令那些考慮沖進云計算的人放慢腳步。

Gartner分析師Jay Heiser警告說：“企業(yè)，特別是那些屬于管制行業(yè)的企業(yè)，必須權(quán)衡云計算服務(wù)帶來的業(yè)務(wù)好處與風(fēng)險。”

云計算最大的風(fēng)險之一源于其性質(zhì)：它允許數(shù)據(jù)被傳送和保存在幾乎任何地方――甚至分開保存在世界不同位置。盡管數(shù)據(jù)散布幫助使云計算具有成本和性能優(yōu)勢，但不利之處是企業(yè)信息可能保存在放置在隱私法松弛或者甚至不存在的位置中的存儲系統(tǒng)中。

Flax使用Salesforce.com公司的Force.com平臺實現(xiàn)Cowen全球銷售系統(tǒng)自動化。他說確保數(shù)據(jù)避免存在風(fēng)險的目的地的最佳辦法是與一家是上市公司的云廠商合作，由于是上市公司，因此法律要求該廠商披露它是如何管理信息的。

Flax說，Salesforce.com是上市公司，“因此，我們對管理它們的數(shù)據(jù)中心的嚴(yán)格的流程和規(guī)定感到放心?！彼f：“我們知道我們的數(shù)據(jù)在美國，我們擁有有關(guān)我們談?wù)摰臄?shù)據(jù)中心的報告?！?

紐約州Troy市的Agora Games是一家建設(shè)視頻游戲玩家Web社區(qū)的公司。該公司對它的云計算提供商Terremark Worldwide將它的數(shù)據(jù)和應(yīng)用放在何處做不了主。但Agora的首席技術(shù)官Brian Corrigan說，這種情況不久會改變。

他說，Terremark不久將為Agora提供“挑選虛擬機實際上在何處運行的選擇。目前，惟一的選擇是Miami的設(shè)施，但Terremark將增加其它位置，因此這將成為我們可以控制的問題?！?

密切跟蹤

云計算散布的性質(zhì)也使跟蹤未經(jīng)授權(quán)的活動充滿挑戰(zhàn)，即使在采用仔細(xì)的日志程序時。幾乎所有云計算提供商都使用加密技術(shù)，如安全套接層技術(shù)，來保護傳輸中的數(shù)據(jù)。但Heiser指出，確保存儲的數(shù)據(jù)被加密也很重要。他說：“如果數(shù)據(jù)保存在共享環(huán)境中（這種情況很常見），你可以設(shè)想未加密的數(shù)據(jù)可能被未經(jīng)授權(quán)的人員閱讀。”

Indian Harvest Specialtifoods是明尼蘇達州Bemidji市一家向世界各地的餐館配送大米、谷物和豆類的公司。公司IT主管Mike Mullin說，他依靠提供商NetSuite公司來確保他發(fā)送到云中的數(shù)據(jù)得到全面的保護。他說：“由于使用了SSL，我對我們的數(shù)據(jù)是安全的非常自信。如果不是這樣的話，我想很多人會遇到問題，而整個云計算行業(yè)也會遇到問題?！?

Mullin指出，云計算采用者還必須謹(jǐn)慎評估他們自己的基礎(chǔ)設(shè)施和安全實踐，尤其是訪問控制。他說：“你的基礎(chǔ)設(shè)施與提供商的基礎(chǔ)設(shè)施一樣存在弱點?！?

使用Amazon.com公司的S3云平臺與全布的全球的雇員和承包商共享文件的Jones也認(rèn)為訪問控制至關(guān)重要。他說：“我們發(fā)現(xiàn)當(dāng)我們分配不同的級別時，該系統(tǒng)能最好地滿足我們。”敏感級別最高的文檔根本不傳送到云中；它們被本地保存。Jones說：“有一些文檔我們不準(zhǔn)備傳送到云中，但我要說95%的文檔不屬于這個級別?！?

Corrigan說，全面的云計算安全需要一種整體的實現(xiàn)方式。他建議：“為了取得超級安全的數(shù)據(jù)，從如何保存它們?nèi)胧?，然后解決如何傳輸它們。通過某種雙因素認(rèn)證方案管理訪問。如果你真正擔(dān)心的話，你可以將你自己的認(rèn)證服務(wù)器保留在公司內(nèi)部――這保證你掌握控制權(quán)?！?

遵從性問題

由于云計算將業(yè)務(wù)數(shù)據(jù)交到外部提供商手中，因此它使法規(guī)遵從性變得比系統(tǒng)保留在公司內(nèi)部時的風(fēng)險更大。失去直接的監(jiān)管意味著客戶公司必須驗證服務(wù)提供商努力確保數(shù)據(jù)安全性和完整性堅固可靠。

Heiser指出任何云計算提供商應(yīng)當(dāng)自愿進行外部審計和安全認(rèn)證，以確保特定控制的質(zhì)量。他說：“不愿意合作是個警告標(biāo)志?！?

從業(yè)于嚴(yán)格管理的金融服務(wù)行業(yè)的Flax依靠SAS 70審計來確保他的云計算提供商符合政府和行業(yè)要求。他說：“現(xiàn)在有規(guī)定數(shù)據(jù)中心的SAS 70審計有什么要求的標(biāo)準(zhǔn)?！?由美國認(rèn)證公共會計師協(xié)會開發(fā)的SAS 70審計涉及數(shù)據(jù)傳輸與保存技術(shù)和實踐，包括網(wǎng)絡(luò)運營、數(shù)據(jù)保護和物理安全元素。

Flax說：“我們非常仔細(xì)地閱讀了這些審計標(biāo)準(zhǔn)，因為同審計某個人的賬本一樣，僅僅由于審計是全面的并不意味著它們完全符合要求。”

總的來看，IT經(jīng)理越來越意識到云計算的安全弱點并控制它們的事實表明采用者開始現(xiàn)實地而不是透過有色眼鏡看待這種新興技術(shù)。

安全云計算五步走

了解云計算特有的松散結(jié)構(gòu)對傳送到它上面的數(shù)據(jù)安全有何影響。

確保云提供商能夠提供有關(guān)其安全架構(gòu)的詳細(xì)信息并愿意接受安全審計。

確保內(nèi)部安全技術(shù)和實踐，如網(wǎng)絡(luò)防火墻和用戶訪問控制，可以很好地契合云安全措施。

了解法律、法規(guī)對傳送到云中的數(shù)據(jù)有何影響。

關(guān)注可能影響到數(shù)據(jù)安全的云技術(shù)和實踐的變化。（網(wǎng)界網(wǎng)）