云計(jì)算的七大安全風(fēng)險(xiǎn)

[導(dǎo)讀]云計(jì)算正在受到企業(yè)用戶的青睞，但是在加入云計(jì)算行列之前，你應(yīng)該了解云計(jì)算存在的七大安全風(fēng)險(xiǎn)。
　　云計(jì)算正在受到企業(yè)用戶的青睞，但是在加入云計(jì)算行列之前，你應(yīng)該了解云計(jì)算存在的七大安全風(fēng)險(xiǎn)。

　　市場調(diào)研機(jī)構(gòu)Gartner在今年六月發(fā)布的一份題為《評(píng)估云計(jì)算的安全風(fēng)險(xiǎn)》的報(bào)告中稱，云計(jì)算存在許多安全風(fēng)，精明的用戶會(huì)在選擇云計(jì)算廠商之前做全面的咨詢并且考慮通過中立的第三方來進(jìn)行安全性評(píng)估。

　　Gartner表示，云計(jì)算“特殊的性質(zhì)需要對(duì)其進(jìn)行多個(gè)方面的評(píng)估，例如數(shù)據(jù)完整性、恢復(fù)以及隱私性等等，同時(shí)還要對(duì)例如電子發(fā)現(xiàn)、法規(guī)遵從以及審核等法律問題進(jìn)行評(píng)估。”

　　Anmazon的EC2服務(wù)和Google的Google App Engine是典型的云計(jì)算服務(wù)，也被Gartner定義為一種“將大量可擴(kuò)展的存儲(chǔ)空間作為一項(xiàng)服務(wù)提供給采用因特網(wǎng)技術(shù)的外部用戶所使用的”計(jì)算類型。

　　用戶必須要求操作透明度，避免廠商拒絕提供有關(guān)安全問題的詳細(xì)信息。用戶應(yīng)該向廠商提問有關(guān)策略制定者、架構(gòu)師、編碼人員以及操作人員的資格;風(fēng)險(xiǎn)控制流程以及技術(shù)機(jī)制;對(duì)服務(wù)和控制流程運(yùn)作的測試以及廠商檢查出預(yù)料之外漏洞的能力等。

　　以下是Gartner認(rèn)為用戶在選擇一家云計(jì)算廠商之前應(yīng)該向廠商方面提出的幾個(gè)安全問題：

　　1、用戶訪問權(quán)限。來自于企業(yè)外部的敏感數(shù)據(jù)會(huì)帶來一定程度上的內(nèi)在風(fēng)險(xiǎn)，因?yàn)橥鈦淼姆?wù)繞過了IT部門對(duì)內(nèi)部程序?qū)嵤┑摹拔锢?、邏輯以及人員控制”。盡可能了解是誰來管理你的數(shù)據(jù)。Gartner表示：“你應(yīng)該要求提供商提供有關(guān)特權(quán)管理人員的采用、管理人員的勘誤以及對(duì)他們權(quán)限的控制等信息?！?BR>
　　2、法規(guī)遵從。最終用戶要對(duì)他們自己數(shù)據(jù)的安全性和完整性負(fù)責(zé)--即使這些數(shù)據(jù)是由服務(wù)提供商保存的。傳統(tǒng)服務(wù)提供商負(fù)責(zé)外部審查以及安全認(rèn)證。Gartner認(rèn)為，那些拒絕提供這種審查機(jī)制的云計(jì)算服務(wù)提供商“表明用戶只能利用他們完成最不起眼的瑣碎功能?！?BR>
　　3、數(shù)據(jù)保存位置。當(dāng)你采用云的時(shí)候，你可能都不知道數(shù)據(jù)到底是托管在哪里的。實(shí)際上，你甚至不知道你的數(shù)據(jù)被保存在了哪個(gè)國家。Gartner建議用戶詢問廠商是否具有保存和處理數(shù)據(jù)的某些權(quán)限，以及他們是否會(huì)站在保護(hù)用戶個(gè)人隱私的角度與用戶簽訂隱私保護(hù)協(xié)議。

　　4、數(shù)據(jù)分離。云中的數(shù)據(jù)往往是與其他用戶的數(shù)據(jù)一起保存在一個(gè)共享環(huán)境中的。加密雖然是一種有效的方法，當(dāng)并非萬全之策。Gartner表示：“了解廠商是如何將不同用戶的數(shù)據(jù)分離開來的。”云計(jì)算服務(wù)提供商應(yīng)該向用戶證明，他們的加密策略是經(jīng)過經(jīng)驗(yàn)豐富的專家的設(shè)計(jì)和測試的。Gartner表示：“加密可能會(huì)導(dǎo)致數(shù)據(jù)完全無法讀取，甚至普通的加密方法都可能讓可用性問題變得很復(fù)雜?！?BR>
　　5、恢復(fù)。即使你不知道數(shù)據(jù)被保存在了哪里，云計(jì)算服務(wù)提供行也應(yīng)該告訴你在發(fā)生災(zāi)難的情況下數(shù)據(jù)和服務(wù)的情況。Gartner表示：“任何不在多站點(diǎn)間復(fù)制數(shù)據(jù)和應(yīng)用架構(gòu)的服務(wù)產(chǎn)品都可能遭受最嚴(yán)重的災(zāi)難?！币虼?，Gartner建議用戶向服務(wù)提供商詢問他們是否“有能力做完全恢復(fù)，這個(gè)過程需要花費(fèi)多長時(shí)間?！?BR>
　　6、研究支持。Gartner提醒說，對(duì)云計(jì)算可能發(fā)生的不適當(dāng)或者違法的行為進(jìn)行研究調(diào)查是不太可能的。Gartner表示：“用戶很難調(diào)查云服務(wù)，因?yàn)槎嘤脩舻娜罩疚募蛿?shù)據(jù)可能同時(shí)保存在一起，并且可能散落于不斷變化的主機(jī)和數(shù)據(jù)中心內(nèi)。如果你不能獲得支持某種形式調(diào)研的協(xié)議保證，或者該廠商曾經(jīng)成功支持這種調(diào)研行為的證明，那么你唯一的安全設(shè)想就是，調(diào)研和發(fā)現(xiàn)請求是不可能的?！?BR>
　　7、長期可用性。從理想角度來講，你的云計(jì)算服務(wù)提供商永遠(yuǎn)不可能破產(chǎn)或者被其他大型廠商收購。但是你必須確保如果發(fā)生這些情況的時(shí)候，你的數(shù)據(jù)仍然是可用的。Gartner表示：“向提供商詢問你如何收回?cái)?shù)據(jù)?！?