云計算的5大誤區(qū)，你知道幾個？

作者：時間：2017-12-01 來源：企業(yè)網(wǎng)

加入技術(shù)交流群
- 掃碼加入
  和技術(shù)大咖面對面交流
  海量資料庫查詢

編者按：在云計算領(lǐng)域，圍繞安全性和合規(guī)性的仍然存在許多誤區(qū)。那么現(xiàn)實是什么?

　　當(dāng)黑客襲擊美國三大信貸機構(gòu)之一Equifax公司的系統(tǒng)時，他們盜取了1.43億人的個人數(shù)據(jù)資料，這意味接近美國人口一半的公眾數(shù)據(jù)泄露。

本文引用地址：http://m.butianyuan.cn/article/201712/372363.htm

　　Equifax公司的幾位高管辭職，但其嚴(yán)重的后果依然存在。其IT團隊沒有更新和修補Apache Struts，Struts是用來驅(qū)動一個允許個人爭議機構(gòu)記錄的系統(tǒng)，由于沒有進行適當(dāng)?shù)母?，它就成為攻擊者獲得完整訪問權(quán)限的開放窗口。

　　當(dāng)人們審視云計算和虛擬化環(huán)境中的合規(guī)性問題的誤區(qū)和現(xiàn)實時，人們必須處理和解決安全問題。事實上，云計算是一個非常適合數(shù)據(jù)保護的環(huán)境，并有適當(dāng)?shù)谋Ｗo措施。人們也必須糾正監(jiān)管機構(gòu)反對應(yīng)用云計算的錯誤觀點。

　　誤區(qū)1：企業(yè)的數(shù)據(jù)中心在安全方面勝過云計算

　　這里有一些重量級人物對于這個話題的思考：“紐約時報”科技編輯Quentin Hardy指出，與傳統(tǒng)數(shù)據(jù)中心環(huán)境中存儲的數(shù)據(jù)相比，云端的數(shù)據(jù)可能受到更高程度的安全保護。Hardy指出，一些全球最具技能和經(jīng)驗的計算機科學(xué)家正在努力使這些云系統(tǒng)變得堅不可摧。

　　在行業(yè)媒體關(guān)于云安全性的觀點中，David Linthicum對有些人認為云計算沒有適當(dāng)機制來創(chuàng)建真正安全或合規(guī)的環(huán)境進行了分析。 Linthicum認為人們應(yīng)該對自己數(shù)據(jù)中心的服務(wù)器上的任何數(shù)據(jù)都要更加謹(jǐn)慎。通過他對傳統(tǒng)和云生態(tài)系統(tǒng)的評估表明，云計算比本地數(shù)據(jù)中心具有更好的安全性。

　　調(diào)研機構(gòu)Gartner的報告對那些不相信云計算的人來說可能是最具顛覆性的消息。

　　Linthicum說：“主要云提供商的安全狀態(tài)與大多數(shù)企業(yè)數(shù)據(jù)中心一樣好或者更好，安全因素不應(yīng)該被認為是采用公共云服務(wù)的主要阻礙?！?/p>

　　換句話說，云計算是一個最強大、最尖端的可靠工具，比傳統(tǒng)的數(shù)據(jù)中心更具合規(guī)性。分析人士預(yù)計，到2020年，基礎(chǔ)設(shè)施即服務(wù)系統(tǒng)所遭受的違規(guī)數(shù)量將比傳統(tǒng)數(shù)據(jù)中心環(huán)境至少低60%。

　　誤區(qū)2：監(jiān)管者機構(gòu)討厭云計算

　　云計算的兩個標(biāo)準(zhǔn)組織和美國聯(lián)邦政府機構(gòu)越來越接受云計算的虛擬化設(shè)計，并將其視為一種可行的技術(shù)形式。例如，PCI安全標(biāo)準(zhǔn)委員會已經(jīng)發(fā)布了云計算指南。

　　衛(wèi)生和人類服務(wù)部(HHS)發(fā)布了HIPAA和云計算指南，而這與繼承或處理電子保護健康信息(ePHI)的醫(yī)療機構(gòu)和繼承人服務(wù)合作伙伴有關(guān)。這些參數(shù)特別令人感興趣，因為它們表示是一種接受，在正確的保護措施到位的情況下，云計算可以符合聯(lián)邦法律嚴(yán)格的隱私和安全要求。

　　誤區(qū)3：遵從云計算并不需要企業(yè)承擔(dān)責(zé)任

　　合規(guī)性仍然是云計算服務(wù)提供商和受監(jiān)管公司之間的雙重責(zé)任。 PCI指導(dǎo)原則規(guī)定：“客戶和云計算提供商應(yīng)就所有安全要求達成一致的政策和程序，并且應(yīng)明確界定和理解每項要求的操作，管理和報告責(zé)任?！边@種語言類似于HHS下的商業(yè)伙伴協(xié)議(BAA)的概念。這些協(xié)議對理解和描述角色和職責(zé)至關(guān)重要。

　　誤區(qū)4：虛擬化是合規(guī)性的敵對者

　　云計算是虛擬機，但是在傳統(tǒng)數(shù)據(jù)中心環(huán)境中創(chuàng)建的虛擬機呢?如果企業(yè)滿足虛擬環(huán)境的特定需求，則可以完全符合云計算要求，如“PCI DSS虛擬化指南”所述。

　　例如，重要的是要特別注意虛擬機管理程序，因為虛擬化是一個獨特的攻擊面。企業(yè)還應(yīng)該注意將不同信任級別的虛擬機混合在一起，因為入侵者可以使用安全控制較弱的虛擬機來獲得敏感數(shù)據(jù)。而虛擬的環(huán)境可以滿足所有主要的標(biāo)準(zhǔn)和規(guī)定的需求，也可以滿足物理設(shè)置的需要。

　　誤區(qū)5：合規(guī)很容易

　　事實上合規(guī)是復(fù)雜的。仔細審查所有提供商以幫助企業(yè)保護合規(guī)數(shù)據(jù)這非常重要。確保適當(dāng)?shù)谋Ｗo措施到位，例如加密和備份，以及對流程、責(zé)任和問責(zé)制的清晰理解也是至關(guān)重要的。

　　云計算如今正在使用兼容設(shè)置來提高安全性，這與行業(yè)專家的觀點一致，認為云計算技術(shù)適用于任何組織。