云計算的七大安全風(fēng)險

[導(dǎo)讀]云計算正在受到企業(yè)用戶的青睞，但是在加入云計算行列之前，你應(yīng)該了解云計算存在的七大安全風(fēng)險。
　　云計算正在受到企業(yè)用戶的青睞，但是在加入云計算行列之前，你應(yīng)該了解云計算存在的七大安全風(fēng)險。

　　市場調(diào)研機構(gòu)Gartner在今年六月發(fā)布的一份題為《評估云計算的安全風(fēng)險》的報告中稱，云計算存在許多安全風(fēng)，精明的用戶會在選擇云計算廠商之前做全面的咨詢并且考慮通過中立的第三方來進行安全性評估。

　　Gartner表示，云計算“特殊的性質(zhì)需要對其進行多個方面的評估，例如數(shù)據(jù)完整性、恢復(fù)以及隱私性等等，同時還要對例如電子發(fā)現(xiàn)、法規(guī)遵從以及審核等法律問題進行評估。”

　　Anmazon的EC2服務(wù)和Google的Google App Engine是典型的云計算服務(wù)，也被Gartner定義為一種“將大量可擴展的存儲空間作為一項服務(wù)提供給采用因特網(wǎng)技術(shù)的外部用戶所使用的”計算類型。

　　用戶必須要求操作透明度，避免廠商拒絕提供有關(guān)安全問題的詳細信息。用戶應(yīng)該向廠商提問有關(guān)策略制定者、架構(gòu)師、編碼人員以及操作人員的資格;風(fēng)險控制流程以及技術(shù)機制;對服務(wù)和控制流程運作的測試以及廠商檢查出預(yù)料之外漏洞的能力等。

　　以下是Gartner認為用戶在選擇一家云計算廠商之前應(yīng)該向廠商方面提出的幾個安全問題：

　　1、用戶訪問權(quán)限。來自于企業(yè)外部的敏感數(shù)據(jù)會帶來一定程度上的內(nèi)在風(fēng)險，因為外來的服務(wù)繞過了IT部門對內(nèi)部程序?qū)嵤┑摹拔锢怼⑦壿嬕约叭藛T控制”。盡可能了解是誰來管理你的數(shù)據(jù)。Gartner表示：“你應(yīng)該要求提供商提供有關(guān)特權(quán)管理人員的采用、管理人員的勘誤以及對他們權(quán)限的控制等信息?！?BR>
　　2、法規(guī)遵從。最終用戶要對他們自己數(shù)據(jù)的安全性和完整性負責(zé)--即使這些數(shù)據(jù)是由服務(wù)提供商保存的。傳統(tǒng)服務(wù)提供商負責(zé)外部審查以及安全認證。Gartner認為，那些拒絕提供這種審查機制的云計算服務(wù)提供商“表明用戶只能利用他們完成最不起眼的瑣碎功能。”

　　3、數(shù)據(jù)保存位置。當(dāng)你采用云的時候，你可能都不知道數(shù)據(jù)到底是托管在哪里的。實際上，你甚至不知道你的數(shù)據(jù)被保存在了哪個國家。Gartner建議用戶詢問廠商是否具有保存和處理數(shù)據(jù)的某些權(quán)限，以及他們是否會站在保護用戶個人隱私的角度與用戶簽訂隱私保護協(xié)議。

　　4、數(shù)據(jù)分離。云中的數(shù)據(jù)往往是與其他用戶的數(shù)據(jù)一起保存在一個共享環(huán)境中的。加密雖然是一種有效的方法，當(dāng)并非萬全之策。Gartner表示：“了解廠商是如何將不同用戶的數(shù)據(jù)分離開來的?！痹朴嬎惴?wù)提供商應(yīng)該向用戶證明，他們的加密策略是經(jīng)過經(jīng)驗豐富的專家的設(shè)計和測試的。Gartner表示：“加密可能會導(dǎo)致數(shù)據(jù)完全無法讀取，甚至普通的加密方法都可能讓可用性問題變得很復(fù)雜?！?BR>
　　5、恢復(fù)。即使你不知道數(shù)據(jù)被保存在了哪里，云計算服務(wù)提供行也應(yīng)該告訴你在發(fā)生災(zāi)難的情況下數(shù)據(jù)和服務(wù)的情況。Gartner表示：“任何不在多站點間復(fù)制數(shù)據(jù)和應(yīng)用架構(gòu)的服務(wù)產(chǎn)品都可能遭受最嚴(yán)重的災(zāi)難?！币虼耍珿artner建議用戶向服務(wù)提供商詢問他們是否“有能力做完全恢復(fù)，這個過程需要花費多長時間?！?BR>
　　6、研究支持。Gartner提醒說，對云計算可能發(fā)生的不適當(dāng)或者違法的行為進行研究調(diào)查是不太可能的。Gartner表示：“用戶很難調(diào)查云服務(wù)，因為多用戶的日志文件和數(shù)據(jù)可能同時保存在一起，并且可能散落于不斷變化的主機和數(shù)據(jù)中心內(nèi)。如果你不能獲得支持某種形式調(diào)研的協(xié)議保證，或者該廠商曾經(jīng)成功支持這種調(diào)研行為的證明，那么你唯一的安全設(shè)想就是，調(diào)研和發(fā)現(xiàn)請求是不可能的?！?BR>
　　7、長期可用性。從理想角度來講，你的云計算服務(wù)提供商永遠不可能破產(chǎn)或者被其他大型廠商收購。但是你必須確保如果發(fā)生這些情況的時候，你的數(shù)據(jù)仍然是可用的。Gartner表示：“向提供商詢問你如何收回數(shù)據(jù)?！?