在中国随着云计算技术不断深入发展,我国云计算市场发展可以说是热火朝天。但中国人也少不了“大跃进”思想,口号喊的震天响,实际应用确实漏洞百出,尤其是云安全问题。自云计算出现以来,无论国际还是国内云安全问题一直是云计算发展制肘,企业如果转型云计算就必须考虑云计算安全问题。
云计算在具有巨大商机的同时,潜在着巨大的安全风险。云计算发展中存在着:隔离失败风险、合规风险、管理界面损害风险、数据删除不彻底风险、内部威胁风险等众多运营和使用风险。所以,安全问题仍然是企业部署云计算资源的主要制肘,最大的问题不是在云环境中数据可能被破坏,而是可能出现云中断,从而导致数据丢失。目前存在这样一种看法,即使用云计算最大的风险是关键数据可能被泄露,但是我们很少看到这样的情况,可以说屈指可数。
现在更普遍的是云中断和数据丢失,在这方面,企业的准备工作非常欠缺。这些问题一遍又一遍地出现,所以它们很可能会再次出现。尽管这是云用户最关注的问题之一,但根据Gartner最近的调查显示,只有一半的企业部署了程序来评估期业务连续性流程。他补充说,安全泄露问题不应该被忽略,但更为紧迫的问题是围绕在业务连续性上。
云计算行业正在慢慢解决这些问题,但是正在试图推动云安全改进的供应商、用户和第三方机构应该要做得更多。
在服务水平协议(SLA)中,供应商一直不愿意解决数据丢失的安全可恢复问题。大家都在抱怨说,云服务供应商对于他们具体如何保护客户一直含糊其辞。一些供应商表示,他们不会公布这方面的信息,是因为这样做可能会存在一定的安全风险。供应商多次声称能够提供高水平的数据可用性和保密性,但Heiser表示,他们并没有提供相关证据,来让客户验证其说辞。
在这方面,用户应该更加积极主动。用户需要做的第一件事情是分类数据,标记真正需要保护的数据。不完整或者不存在的数据分类是一个常见的问题。Heiser表示:“如果用户不知道特定数据所需要的与其他数据不同的安全要求,这将很难评估供应商是否能够提供足够的安全性。”
第三方组织正在努力为这些方面制定标准和认证,但Heiser表示,目前这方面仍然很欠缺。例如,云安全联盟采取了广泛的措施来解决各种问题,但这些措施不够深入到解决特定领域的根本问题。
那么,企业云用户应该做些什么?选择你的云控制‘战役'.宏观趋势是越来越多的数据将出现在越来越多的最终用户设备中,这让控制数据变得更加困难,同时创造更多漏洞。通过数据分类,企业可以优先考虑需要高度安全保护的数据。对于大多数企业而言,极为重要的数据将低于总数据的20%,甚至可能低至5%或者更少。对于这些数据,企业应该“拼死保护”,采用加密、令牌化、数据丢失防御系统或者将这些数据保存在企业内部,而不是公共云中。还应该部署杀毒软件、反恶意软件和其他安全保护以及控制来确保其他数据不会太容易受到攻击。在现在的情况下,现实的情况是,大部分数据将需要保护自己。
根据IDC统计数据显示,当前,87.5%的受调查用户认为“安全性问题”是影响其采用云服务的主要问题。特别是鉴于云服务和传统IT服务在法律层面上的考量会有许多不同之处。因此,入云企业应慎重。签订云计算服务合同时尤其要注意合同中关于涉及安全破坏、数据转移、控制转变以及数据访问时自身在法律层面的权利及义务的准确描述和界定。谨慎考量风险。慎重签订合同。防止误入合同预留的文字陷阱中。
除此之外,云服务提供者也必须规避恶意用户对于云服务的滥用风险。为了规避以上风险,云服务提供商必须对云系统进行全面的安全加固,不仅要在云中部署针对性的安全防护产品,更要从系统层面,建立完善的密钥管理、权限管理、云安全认证监测服务等多维安全机制,确保云服务的安全平稳运行。
(责任编辑:施柏鹏)