雲安全聯盟：雲計算重要風險清單

一些關於公共雲計算的重要風險清單非常廣泛而且複雜，比如：雲安全聯盟整理的雲計算重要風險1.0版。 大部分風險清單中會包含下面這些項：

1、網路安全

從IT管理人員的關注程度看，這一條仍然是遙遙領先佔據第一位。 這一條還包括一些資料保護和隱私子分類，來自軟體即服務（SaaS）供應商的物理安全和應用安全，還有過度宣傳洩露。

Steve MacLellan是波士頓富達科技集團金融服務企業架構高級副總裁，他說，大家不要相信「相信我，我是SaaS-y」的市場。 他還補充說，一定要問清他們安全方面的策略，視察他們的資料中心，確保資料在物理上是安全的。

然後，儘自己的努力來保護資料。 PeterToth是總部位於新澤西州普林斯頓北美Gfk定制研究所（德國研究和開發公司Gfk集團的一個部門）的IT運營經理，他說：「我們確保我們的資料離開時是加密的，這是在發生問題之前就在資料中心完成的。 」

對於另一部分人，安全不再是雲計算中的一個威脅，而是別人自己後院裡的事。 RichMogull是總部位於費尼克斯的諮詢機構Securosis有限責任公司的CEO和分析師，他說：「我想說的是雲（甚至公共雲）並不是生來就比你的內部環境更安全或者更不安全， 這完全取決於採用了什麼樣的控制以及你如何實施它們。 」

2、身份管理

密碼是個問題，尤其是因為破壞分子現在擁有了計算能力來搞破壞（有意思的是，他們可以使用公共雲的計算能力）。 聯邦政府正著手開發聯邦ID生態系統，它可以保護避免受到網路破壞分子的侵害。 本月早些時候，奧巴馬政府宣佈它將創建一個網路中可信的身份程式，由新成立的「國家計畫辦公室」領導，該機構歸國家商務部領導。

3、法規遵從

就邊界而言，它們實際上可能是虛擬的，但是它們也可能是物理存在的。 新規定對金融服務，醫療保健以及保險業物理資料駐留在哪裡以及保留多久都做了限制。 MacLellan說：「確實，我們也聽說了一些（關於遵從這些新規定的消息），規定的環境多少有點不太友好」，可能反駁了‘雲是一個自由貿易區’這一觀念。 例如，一些資訊可能不能跨越國家邊界，但是，它幾乎不可能知道公共雲資料保存在哪裡。 此外，Drue Reeves是Gartner公司副總裁以及知名分析師，他認為，負擔在雲客戶身上，他們要確保雲供應商遵守影響他們公司資料的規定。

4、資料整合

在使用公共雲服務時有一個風險，就是如何在雲豎井中自然地整合資料。 利用企業後端系統集成駐留在雲服務中的資料不是一件輕鬆的事。 尤其是在企業沒有經歷過組織級資訊集成挑戰的情況下。 James Staten是麻塞諸塞州劍橋Forrester研究公司副總裁兼首席分析師，他認為，已經把他們的資料設置的足夠方便跨多個平臺使用的公司處在最佳位置，可以發揮雲服務的全部優勢。

按照EMC公司資訊優勢領導委員會（一個IT主管組織，其成員主要討論雲計算中的挑戰）的觀點：養成加密資料的習慣也非常重要，還要標記穩定的資料並鞏固存儲資產庫。 該組織建議，要徹底避開大量的集成工作，要先儘量限制必須支援的雲平臺數量。

雲專家們還建議，採用ETL（抽取，轉換，載入）工具可以簡化資料從一種格式到另一種格式的轉換。 目標是把資訊轉換成一種通用格式——最可能轉換成可擴展標記語言（或者叫XML）——這樣資料就更容易移動和搜索了。

5、廠商鎖定

這個棘手的問題歸結為，在不同雲服務供應商之間標準互通性的變革問題。 我們假定你不喜歡你公共雲供應商的策略變化，想選擇另一家供應商。 在這種情況下，雲可能會出現眾所周知的巴別塔問題，儘管許多供應商正在提供更好的互通性。 微軟的Azure平臺本來是直接連到。 NET的，現在也有一個開源軟體發展工具組支援開發者使用PHP指令碼語言；而Salesforce.com公司一度專用的Force.com開發平臺也支援JAVA應用開發了。

Tom Bittman是Gartner公司的著名分析師，他聲稱目前涉足雲服務的這樣或那樣的供應商有一萬家。 他說：「需要有人説明我們從中判斷」，並給企業「拿拿注意」。 他預計，雲經紀人作為新的系統整合者數量會上升，他們會説明企業在後端系統和雲服務之間做資料整合。 他還預測，到2015年，20%的雲服務將會通過雲服務代理人進行，而不是直接交互，目前這個比例是5%。

這種「同聲同氣」也可能是雲服務供應商之間整合的結果。 隨著競爭日趨激烈，較小的供應商不見得一定會失敗。 按照Bittman的觀點選擇正確的供應商是IT主管今年要做的關鍵決策之一。 他說：「我們看到有的供應商倒閉了，資料也隨之丟失了。 」

7、可管理性

雲服務可能並沒有提供與企業預期一致的管理水準。 按照一些CIO的觀點，這種想法是對按需定制和雲應用程式單方面的，端對端的看法。 其中包括Gainsco公司CIOPhilWest，該公司是總部位於達拉斯俄一家非標準汽車保險供應商。 去年秋天，包括Vizioncore（現在是Quest軟體公司的一部分），Veeam軟體公司，LogMeIn公司，Precise軟體解決方案公司，Compuware公司以及微軟在內的一些供應商發佈了監視工具， 計畫為企業對雲服務提供端對端的可見度。

8、可用性

企業不能忍受服務中斷，不管什麼原因，從頻寬限制到分散式阻斷服務（DoS）攻擊都不行。 LalitenduPanda是總部位於日本的D&M控股公司的全球CIO，他說：「這都是關於品質的問題，不是關於低成本服務的問題。 服務中斷是一個問題；我們有幾種‘情況’。 希望你自己擁有（基礎設施）並且你自己能修改是不現實的。 你完全沒法控制運行在雲中的其他應用，它們會導致雲服務性能降低。 」

9、共用資源

由於公共雲多租賃的性質，會有許多公司共用一套基礎設施的資源。 DrewBartkiewicz是CyberRiskPartners有限責任公司（紐約一家雲保險供應商）的CEO，他認為對共用同一個雲資源的所有「住戶」的依賴造成了一個潛在的災難性風險。 他說：「公共雲供應商只會通過合同來轉移風險，並且祈禱災難不要發生在自己身上來。 」

Tanya Forsheit是InfoLaw Group有限責任公司的合夥創始人，她認為，另一方面，雲服務的關鍵在於你共用了空間。 她說：「如果你繼續使用（公共）雲，你必須接受這一事實，否則你就用私有雲獨立保留資料吧。 」

10、法律二義性

事實是，雲服務中的責任並不是非黑即白，這是由於缺少這類公共案例可以作為先例參考。 Gartner公司的Reeves說，如果某一家公共雲計算供應商出了監管問題丟失了資料，那麼該供應商應該分擔責任。 他還說：「IT組織應該在他們的合同中明確寫清，供應商理解制度監管問題並且會承擔責任。 如果他已經告訴供應商資料需要什麼服務了，為什麼消費者還要承擔所有責任？ 」他還補充說，雲服務中的責任劃分問題目前還在發展階段；供應商們在服務連接中斷時可能免受託管費，但是對業務損失沒有連帶賠償。 在塵埃落定之前，設想一下雲保險代理商營造的新生態系統吧。

沒有回頭路

這與其說是風險，還不如說是考慮現實。 因為處在IT戰壕的人們擔心的是，一旦企業採納了公共雲計算，他們會失去什麼。 Danny Jenkins是德州Plano的J.C.Penney公司黑莓管理員，他說：「一旦你走出私有空間，進入公共雲服務，你需要或者再想回頭幾乎是不可能的。 」這裡的風險在於，你「放棄了你自己內部的知識基礎。 」

(責任編輯：杜慶先)