云计算的七大安全风险

[导读]云计算正在受到企业用户的青睐，但是在加入云计算行列之前，你应该了解云计算存在的七大安全风险。
　　云计算正在受到企业用户的青睐，但是在加入云计算行列之前，你应该了解云计算存在的七大安全风险。

　　市场调研机构Gartner在今年六月发布的一份题为《评估云计算的安全风险》的报告中称，云计算存在许多安全风，精明的用户会在选择云计算厂商之前做全面的咨询并且考虑通过中立的第三方来进行安全性评估。

　　Gartner表示，云计算“特殊的性质需要对其进行多个方面的评估，例如数据完整性、恢复以及隐私性等等，同时还要对例如电子发现、法规遵从以及审核等法律问题进行评估。”

　　Anmazon的EC2服务和Google的Google App Engine是典型的云计算服务，也被Gartner定义为一种“将大量可扩展的存储空间作为一项服务提供给采用因特网技术的外部用户所使用的”计算类型。

　　用户必须要求操作透明度，避免厂商拒绝提供有关安全问题的详细信息。用户应该向厂商提问有关策略制定者、架构师、编码人员以及操作人员的资格;风险控制流程以及技术机制;对服务和控制流程运作的测试以及厂商检查出预料之外漏洞的能力等。

　　以下是Gartner认为用户在选择一家云计算厂商之前应该向厂商方面提出的几个安全问题：

　　1、用户访问权限。来自于企业外部的敏感数据会带来一定程度上的内在风险，因为外来的服务绕过了IT部门对内部程序实施的“物理、逻辑以及人员控制”。尽可能了解是谁来管理你的数据。Gartner表示：“你应该要求提供商提供有关特权管理人员的采用、管理人员的勘误以及对他们权限的控制等信息。”

　　2、法规遵从。最终用户要对他们自己数据的安全性和完整性负责--即使这些数据是由服务提供商保存的。传统服务提供商负责外部审查以及安全认证。Gartner认为，那些拒绝提供这种审查机制的云计算服务提供商“表明用户只能利用他们完成最不起眼的琐碎功能。”

　　3、数据保存位置。当你采用云的时候，你可能都不知道数据到底是托管在哪里的。实际上，你甚至不知道你的数据被保存在了哪个国家。Gartner建议用户询问厂商是否具有保存和处理数据的某些权限，以及他们是否会站在保护用户个人隐私的角度与用户签订隐私保护协议。

　　4、数据分离。云中的数据往往是与其他用户的数据一起保存在一个共享环境中的。加密虽然是一种有效的方法，当并非万全之策。Gartner表示：“了解厂商是如何将不同用户的数据分离开来的。”云计算服务提供商应该向用户证明，他们的加密策略是经过经验丰富的专家的设计和测试的。Gartner表示：“加密可能会导致数据完全无法读取，甚至普通的加密方法都可能让可用性问题变得很复杂。”

　　5、恢复。即使你不知道数据被保存在了哪里，云计算服务提供行也应该告诉你在发生灾难的情况下数据和服务的情况。Gartner表示：“任何不在多站点间复制数据和应用架构的服务产品都可能遭受最严重的灾难。”因此，Gartner建议用户向服务提供商询问他们是否“有能力做完全恢复，这个过程需要花费多长时间。”

　　6、研究支持。Gartner提醒说，对云计算可能发生的不适当或者违法的行为进行研究调查是不太可能的。Gartner表示：“用户很难调查云服务，因为多用户的日志文件和数据可能同时保存在一起，并且可能散落于不断变化的主机和数据中心内。如果你不能获得支持某种形式调研的协议保证，或者该厂商曾经成功支持这种调研行为的证明，那么你唯一的安全设想就是，调研和发现请求是不可能的。”

　　7、长期可用性。从理想角度来讲，你的云计算服务提供商永远不可能破产或者被其他大型厂商收购。但是你必须确保如果发生这些情况的时候，你的数据仍然是可用的。Gartner表示：“向提供商询问你如何收回数据。”