穿越云安全的迷雾 权衡好处与风险

本文讲的是穿越云安全的迷雾 权衡好处与风险，【IT168 资讯】随着云计算的安全缝隙变得更加显而易见，用户开始寻找保护数据安全的途径。纽约投资银行金融服务机构Cowen公司CIO Daniel Flax依靠云计算实现公司销售活动自动化。尽管他对云计算降低前期费用、减少停机时间和支持额外的服务的潜力感到满意，但他承认他必须努力了解这项新兴技术的安全弱点。他说：“安全是我们必须直接面对的挑战之一。”
　　设在多伦多和新斯科舍省Halifax的交互生产公司Stitch Media的所有者兼IT主管Evan Jones也担心云计算安全问题。他说：“当你把重要的公司数据交给第三方时，想起来就感到害怕。”
　　同数量越来越多的IT经理一样，Flax和Jones开始意识到云计算在安全方面没有为公司提供免费班车。去年发表的一份Gartner报告确定了对几个领域中的安全风险的担心，如数据隐私以及完整性与遵从性管理，这些担心应当令那些考虑冲进云计算的人放慢脚步。
　　Gartner分析师Jay Heiser警告说：“企业，特别是那些属于管制行业的企业，必须权衡云计算服务带来的业务好处与风险。”
　　云计算最大的风险之一源于其性质：它允许数据被传送和保存在几乎任何地方――甚至分开保存在世界不同位置。尽管数据散布帮助使云计算具有成本和性能优势，但不利之处是企业信息可能保存在放置在隐私法松弛或者甚至不存在的位置中的存储系统中。
　　Flax使用Salesforce.com公司的Force.com平台实现Cowen全球销售系统自动化。他说确保数据避免存在风险的目的地的最佳办法是与一家是上市公司的云厂商合作，由于是上市公司，因此法律要求该厂商披露它是如何管理信息的。
　　Flax说，Salesforce.com是上市公司，“因此，我们对管理它们的数据中心的严格的流程和规定感到放心。”他说：“我们知道我们的数据在美国，我们拥有有关我们谈论的数据中心的报告。”
　　纽约州Troy市的Agora Games是一家建设视频游戏玩家Web社区的公司。该公司对它的云计算提供商Terremark Worldwide将它的数据和应用放在何处做不了主。但Agora的首席技术官Brian Corrigan说，这种情况不久会改变。
　　他说，Terremark不久将为Agora提供“挑选虚拟机实际上在何处运行的选择。目前，惟一的选择是Miami的设施，但Terremark将增加其它位置，因此这将成为我们可以控制的问题。”
密切跟踪
　　云计算散布的性质也使跟踪未经授权的活动充满挑战，即使在采用仔细的日志程序时。几乎所有云计算提供商都使用加密技术，如安全套接层技术，来保护传输中的数据。但Heiser指出，确保存储的数据被加密也很重要。他说：“如果数据保存在共享环境中（这种情况很常见），你可以设想未加密的数据可能被未经授权的人员阅读。”
　　Indian Harvest Specialtifoods是明尼苏达州Bemidji市一家向世界各地的餐馆配送大米、谷物和豆类的公司。公司IT主管Mike Mullin说，他依靠提供商NetSuite公司来确保他发送到云中的数据得到全面的保护。他说：“由于使用了SSL，我对我们的数据是安全的非常自信。如果不是这样的话，我想很多人会遇到问题，而整个云计算行业也会遇到问题。”
　　Mullin指出，云计算采用者还必须谨慎评估他们自己的基础设施和安全实践，尤其是访问控制。他说：“你的基础设施与提供商的基础设施一样存在弱点。”
　　使用Amazon.com公司的S3云平台与全布的全球的雇员和承包商共享文件的Jones也认为访问控制至关重要。他说：“我们发现当我们分配不同的级别时，该系统能最好地满足我们。”敏感级别最高的文档根本不传送到云中；它们被本地保存。Jones说：“有一些文档我们不准备传送到云中，但我要说95%的文档不属于这个级别。”
　　Corrigan说，全面的云计算安全需要一种整体的实现方式。他建议：“为了取得超级安全的数据，从如何保存它们入手，然后解决如何传输它们。通过某种双因素认证方案管理访问。如果你真正担心的话，你可以将你自己的认证服务器保留在公司内部――这保证你掌握控制权。”
遵从性问题
　　由于云计算将业务数据交到外部提供商手中，因此它使法规遵从性变得比系统保留在公司内部时的风险更大。失去直接的监管意味着客户公司必须验证服务提供商努力确保数据安全性和完整性坚固可靠。
　　Heiser指出任何云计算提供商应当自愿进行外部审计和安全认证，以确保特定控制的质量。他说：“不愿意合作是个警告标志。”
　　从业于严格管理的金融服务行业的Flax依靠SAS 70审计来确保他的云计算提供商符合政府和行业要求。他说：“现在有规定数据中心的SAS 70审计有什么要求的标准。” 由美国认证公共会计师协会开发的SAS 70审计涉及数据传输与保存技术和实践，包括网络运营、数据保护和物理安全元素。
　　Flax说：“我们非常仔细地阅读了这些审计标准，因为同审计某个人的账本一样，仅仅由于审计是全面的并不意味着它们完全符合要求。”
　　总的来看，IT经理越来越意识到云计算的安全弱点并控制它们的事实表明采用者开始现实地而不是透过有色眼镜看待这种新兴技术。
安全云计算五步走
　　了解云计算特有的松散结构对传送到它上面的数据安全有何影响。
　　确保云提供商能够提供有关其安全架构的详细信息并愿意接受安全审计。
　　确保内部安全技术和实践，如网络防火墙和用户访问控制，可以很好地契合云安全措施。
　　了解法律、法规对传送到云中的数据有何影响。
　　关注可能影响到数据安全的云技术和实践的变化。