云計算的七大安全風險

[導讀]云計算正在受到企業(yè)用戶的青睞，但是在加入云計算行列之前，你應該了解云計算存在的七大安全風險。
　　云計算正在受到企業(yè)用戶的青睞，但是在加入云計算行列之前，你應該了解云計算存在的七大安全風險。

　　市場調研機構Gartner在今年六月發(fā)布的一份題為《評估云計算的安全風險》的報告中稱，云計算存在許多安全風，精明的用戶會在選擇云計算廠商之前做全面的咨詢并且考慮通過中立的第三方來進行安全性評估。

　　Gartner表示，云計算“特殊的性質需要對其進行多個方面的評估，例如數(shù)據完整性、恢復以及隱私性等等，同時還要對例如電子發(fā)現(xiàn)、法規(guī)遵從以及審核等法律問題進行評估?！?BR>
　　Anmazon的EC2服務和Google的Google App Engine是典型的云計算服務，也被Gartner定義為一種“將大量可擴展的存儲空間作為一項服務提供給采用因特網技術的外部用戶所使用的”計算類型。

　　用戶必須要求操作透明度，避免廠商拒絕提供有關安全問題的詳細信息。用戶應該向廠商提問有關策略制定者、架構師、編碼人員以及操作人員的資格;風險控制流程以及技術機制;對服務和控制流程運作的測試以及廠商檢查出預料之外漏洞的能力等。

　　以下是Gartner認為用戶在選擇一家云計算廠商之前應該向廠商方面提出的幾個安全問題：

　　1、用戶訪問權限。來自于企業(yè)外部的敏感數(shù)據會帶來一定程度上的內在風險，因為外來的服務繞過了IT部門對內部程序實施的“物理、邏輯以及人員控制”。盡可能了解是誰來管理你的數(shù)據。Gartner表示：“你應該要求提供商提供有關特權管理人員的采用、管理人員的勘誤以及對他們權限的控制等信息。”

　　2、法規(guī)遵從。最終用戶要對他們自己數(shù)據的安全性和完整性負責--即使這些數(shù)據是由服務提供商保存的。傳統(tǒng)服務提供商負責外部審查以及安全認證。Gartner認為，那些拒絕提供這種審查機制的云計算服務提供商“表明用戶只能利用他們完成最不起眼的瑣碎功能。”

　　3、數(shù)據保存位置。當你采用云的時候，你可能都不知道數(shù)據到底是托管在哪里的。實際上，你甚至不知道你的數(shù)據被保存在了哪個國家。Gartner建議用戶詢問廠商是否具有保存和處理數(shù)據的某些權限，以及他們是否會站在保護用戶個人隱私的角度與用戶簽訂隱私保護協(xié)議。

　　4、數(shù)據分離。云中的數(shù)據往往是與其他用戶的數(shù)據一起保存在一個共享環(huán)境中的。加密雖然是一種有效的方法，當并非萬全之策。Gartner表示：“了解廠商是如何將不同用戶的數(shù)據分離開來的?！痹朴嬎惴仗峁┥虘撓蛴脩糇C明，他們的加密策略是經過經驗豐富的專家的設計和測試的。Gartner表示：“加密可能會導致數(shù)據完全無法讀取，甚至普通的加密方法都可能讓可用性問題變得很復雜?！?BR>
　　5、恢復。即使你不知道數(shù)據被保存在了哪里，云計算服務提供行也應該告訴你在發(fā)生災難的情況下數(shù)據和服務的情況。Gartner表示：“任何不在多站點間復制數(shù)據和應用架構的服務產品都可能遭受最嚴重的災難?！币虼耍珿artner建議用戶向服務提供商詢問他們是否“有能力做完全恢復，這個過程需要花費多長時間?！?BR>
　　6、研究支持。Gartner提醒說，對云計算可能發(fā)生的不適當或者違法的行為進行研究調查是不太可能的。Gartner表示：“用戶很難調查云服務，因為多用戶的日志文件和數(shù)據可能同時保存在一起，并且可能散落于不斷變化的主機和數(shù)據中心內。如果你不能獲得支持某種形式調研的協(xié)議保證，或者該廠商曾經成功支持這種調研行為的證明，那么你唯一的安全設想就是，調研和發(fā)現(xiàn)請求是不可能的?！?BR>
　　7、長期可用性。從理想角度來講，你的云計算服務提供商永遠不可能破產或者被其他大型廠商收購。但是你必須確保如果發(fā)生這些情況的時候，你的數(shù)據仍然是可用的。Gartner表示：“向提供商詢問你如何收回數(shù)據?！?