云計算的七大安全風(fēng)險

[導讀]云計算正在受到企業(yè)用戶(hù)的青睞，但是在加入云計算行列之前，你應該了解云計算存在的七大安全風(fēng)險。
　　云計算正在受到企業(yè)用戶(hù)的青睞，但是在加入云計算行列之前，你應該了解云計算存在的七大安全風(fēng)險。

　　市場(chǎng)調研機構Gartner在今年六月發(fā)布的一份題為《評估云計算的安全風(fēng)險》的報告中稱(chēng)，云計算存在許多安全風(fēng)，精明的用戶(hù)會(huì )在選擇云計算廠(chǎng)商之前做全面的咨詢(xún)并且考慮通過(guò)中立的第三方來(lái)進(jìn)行安全性評估。

　　Gartner表示，云計算“特殊的性質(zhì)需要對其進(jìn)行多個(gè)方面的評估，例如數據完整性、恢復以及隱私性等等，同時(shí)還要對例如電子發(fā)現、法規遵從以及審核等法律問(wèn)題進(jìn)行評估?！?BR>
　　Anmazon的EC2服務(wù)和Google的Google App Engine是典型的云計算服務(wù)，也被Gartner定義為一種“將大量可擴展的存儲空間作為一項服務(wù)提供給采用因特網(wǎng)技術(shù)的外部用戶(hù)所使用的”計算類(lèi)型。

　　用戶(hù)必須要求操作透明度，避免廠(chǎng)商拒絕提供有關(guān)安全問(wèn)題的詳細信息。用戶(hù)應該向廠(chǎng)商提問(wèn)有關(guān)策略制定者、架構師、編碼人員以及操作人員的資格;風(fēng)險控制流程以及技術(shù)機制;對服務(wù)和控制流程運作的測試以及廠(chǎng)商檢查出預料之外漏洞的能力等。

　　以下是Gartner認為用戶(hù)在選擇一家云計算廠(chǎng)商之前應該向廠(chǎng)商方面提出的幾個(gè)安全問(wèn)題：

　　1、用戶(hù)訪(fǎng)問(wèn)權限。來(lái)自于企業(yè)外部的敏感數據會(huì )帶來(lái)一定程度上的內在風(fēng)險，因為外來(lái)的服務(wù)繞過(guò)了IT部門(mén)對內部程序實(shí)施的“物理、邏輯以及人員控制”。盡可能了解是誰(shuí)來(lái)管理你的數據。Gartner表示：“你應該要求提供商提供有關(guān)特權管理人員的采用、管理人員的勘誤以及對他們權限的控制等信息?！?BR>
　　2、法規遵從。最終用戶(hù)要對他們自己數據的安全性和完整性負責--即使這些數據是由服務(wù)提供商保存的。傳統服務(wù)提供商負責外部審查以及安全認證。Gartner認為，那些拒絕提供這種審查機制的云計算服務(wù)提供商“表明用戶(hù)只能利用他們完成最不起眼的瑣碎功能?！?BR>
　　3、數據保存位置。當你采用云的時(shí)候，你可能都不知道數據到底是托管在哪里的。實(shí)際上，你甚至不知道你的數據被保存在了哪個(gè)國家。Gartner建議用戶(hù)詢(xún)問(wèn)廠(chǎng)商是否具有保存和處理數據的某些權限，以及他們是否會(huì )站在保護用戶(hù)個(gè)人隱私的角度與用戶(hù)簽訂隱私保護協(xié)議。

　　4、數據分離。云中的數據往往是與其他用戶(hù)的數據一起保存在一個(gè)共享環(huán)境中的。加密雖然是一種有效的方法，當并非萬(wàn)全之策。Gartner表示：“了解廠(chǎng)商是如何將不同用戶(hù)的數據分離開(kāi)來(lái)的?！痹朴嬎惴?wù)提供商應該向用戶(hù)證明，他們的加密策略是經(jīng)過(guò)經(jīng)驗豐富的專(zhuān)家的設計和測試的。Gartner表示：“加密可能會(huì )導致數據完全無(wú)法讀取，甚至普通的加密方法都可能讓可用性問(wèn)題變得很復雜?！?BR>
　　5、恢復。即使你不知道數據被保存在了哪里，云計算服務(wù)提供行也應該告訴你在發(fā)生災難的情況下數據和服務(wù)的情況。Gartner表示：“任何不在多站點(diǎn)間復制數據和應用架構的服務(wù)產(chǎn)品都可能遭受最嚴重的災難?！币虼?，Gartner建議用戶(hù)向服務(wù)提供商詢(xún)問(wèn)他們是否“有能力做完全恢復，這個(gè)過(guò)程需要花費多長(cháng)時(shí)間?！?BR>
　　6、研究支持。Gartner提醒說(shuō)，對云計算可能發(fā)生的不適當或者違法的行為進(jìn)行研究調查是不太可能的。Gartner表示：“用戶(hù)很難調查云服務(wù)，因為多用戶(hù)的日志文件和數據可能同時(shí)保存在一起，并且可能散落于不斷變化的主機和數據中心內。如果你不能獲得支持某種形式調研的協(xié)議保證，或者該廠(chǎng)商曾經(jīng)成功支持這種調研行為的證明，那么你唯一的安全設想就是，調研和發(fā)現請求是不可能的?！?BR>
　　7、長(cháng)期可用性。從理想角度來(lái)講，你的云計算服務(wù)提供商永遠不可能破產(chǎn)或者被其他大型廠(chǎng)商收購。但是你必須確保如果發(fā)生這些情況的時(shí)候，你的數據仍然是可用的。Gartner表示：“向提供商詢(xún)問(wèn)你如何收回數據?！?