雲安全仍是中國雲計算發展制肘

在中國隨著雲計算技術不斷深入發展，我國雲計算市場發展可以說是熱火朝天。 但中國人也少不了「大躍進」思想，口號喊的震天響，實際應用確實漏洞百出，尤其是雲安全問題。 自雲計算出現以來，無論國際還是國內雲安全問題一直是雲計算發展制肘，企業如果轉型雲計算就必須考慮雲計算安全問題。

雲計算在具有巨大商機的同時，潛在著巨大的安全風險。 雲計算發展中存在著：隔離失敗風險、合規風險、管理介面損害風險、資料刪除不徹底風險、內部威脅風險等眾多運營和使用風險。 所以，安全問題仍然是企業部署雲計算資源的主要制肘，最大的問題不是在雲環境中資料可能被破壞，而是可能出現雲中斷，從而導致資料丟失。 目前存在這樣一種看法，即使用雲計算最大的風險是關鍵資料可能被洩露，但是我們很少看到這樣的情況，可以說屈指可數。

現在更普遍的是雲中斷和資料丟失，在這方面，企業的準備工作非常欠缺。 這些問題一遍又一遍地出現，所以它們很可能會再次出現。 儘管這是雲使用者最關注的問題之一，但根據Gartner最近的調查顯示，只有一半的企業部署了程式來評估期業務連續性流程。 他補充說，安全洩露問題不應該被忽略，但更為緊迫的問題是圍繞在業務連續性上。

雲計算行業正在慢慢解決這些問題，但是正在試圖推動雲安全改進的供應商、使用者和協力廠商機構應該要做得更多。

在服務水準協定(SLA)中，供應商一直不願意解決資料丟失的安全可恢復問題。 大家都在抱怨說，雲服務供應商對於他們具體如何保護客戶一直含糊其辭。 一些供應商表示，他們不會公佈這方面的資訊，是因為這樣做可能會存在一定的安全風險。 供應商多次聲稱能夠提供高水準的資料可用性和保密性，但Heiser表示，他們並沒有提供相關證據，來讓客戶驗證其說辭。

在這方面，使用者應該更加積極主動。 使用者需要做的第一件事情是分類資料，標記真正需要保護的資料。 不完整或者不存在的資料分類是一個常見的問題。 Heiser表示：「如果使用者不知道特定資料所需要的與其他資料不同的安全要求，這將很難評估供應商是否能夠提供足夠的安全性。 」

協力廠商組織正在努力為這些方面制定標準和認證，但Heiser表示，目前這方面仍然很欠缺。 例如，雲安全聯盟採取了廣泛的措施來解決各種問題，但這些措施不夠深入到解決特定領域的根本問題。

那麼，企業雲使用者應該做些什麼?選擇你的雲控制‘戰役'.宏觀趨勢是越來越多的資料將出現在越來越多的最終使用者設備中，這讓控制資料變得更加困難，同時創造更多漏洞。 通過資料分類，企業可以優先考慮需要高度安全保護的資料。 對於大多數企業而言，極為重要的資料將低於總數據的20%，甚至可能低至5%或者更少。 對於這些資料，企業應該「拼死保護」，採用加密、權杖化、資料丟失防禦系統或者將這些資料保存在企業內部，而不是公共雲中。 還應該部署殺毒軟體、反惡意軟體和其他安全保護以及控制來確保其他資料不會太容易受到攻擊。 在現在的情況下，現實的情況是，大部分資料將需要保護自己。

根據IDC統計資料顯示，當前，87.5%的受調查使用者認為「安全性問題」是影響其採用雲服務的主要問題。 特別是鑒於雲服務和傳統IT服務在法律層面上的考量會有許多不同之處。 因此，入雲企業應慎重。 簽訂雲計算服務合同時尤其要注意合同中關於涉及安全破壞、資料轉移、控制轉變以及資料訪問時自身在法律層面的權利及義務的準確描述和界定。 謹慎考量風險。 慎重簽訂合同。 防止誤入合同預留的文字陷阱中。

除此之外，雲服務提供者也必須規避惡意使用者對於雲服務的濫用風險。 為了規避以上風險，雲服務提供者必須對雲系統進行全面的安全加固，不僅要在雲中部署針對性的安全防護產品，更要從系統層面，建立完善的金鑰管理、版權管理、雲安全認證監測服務等多維安全機制，確保雲服務的安全平穩運行。

(責任編輯：施柏鵬)