Gartner：建立高水準雲計算安全基線

Gartner研究副總裁Jay Heiser表示，實現高水準HTTP://www.aliyun.com/zixun/aggregation/13634.html">雲計算安全仍然需要經歷長期而艱難的努力。 他表示，在雲計算安全得到改善之前，擁有敏感性資料的企業和政府組織可能會從雲服務中撤離。

Heiser表示：「與小企業相比，金融機構對雲計算更加保守。 」另外，他認為，使用基礎設施即服務要比軟體即服務更容易建立安全基線，因為有更多靈活性，更少依賴于服務供應商。 但總體而言，雲服務供應商對於其業務連續性和災害復原做法並不是很明確，這使他們很難贏得客戶的信任。

Gartner的客戶對於雲計算合同的不完整性普遍感到失望，他們並沒有在合同中看到他們期望的與安全相關的條例。

界定雲計算和客戶之間的技術和法律義務很困難，不僅美國聯邦政府在其FedRAMP計畫(尋找為政府提供服務的雲服務供應商)提到了這個問題，雲安全聯盟(CSA)也在關注這個問題，他們建立了幾個工作組來定義行業標準。

雖然很多組織都在努力改善雲計算安全，並且所有這些雲計算安全努力也是值得的，但這些標準都需要一年到五年時間才能成熟。

在此期間，企業和政府明確其需求，並盡可能地評估潛在的雲服務及其安全選項。 首先應該檢查進入其雲服務的資料的機密性。

目前雲計算領域最成熟且可用的安全控制都涉及身份和訪問管理機制以及基於伺服器的加密，但雲服務客戶應該詢問供應商，加密金鑰是如何管理和存儲的，並確定這種風險是否可接受。 取證調查目前還不可行，並且，從整體安全控制來看，可能需要5到10年才能看到針對雲計算的「強大的技術」。

雲計算的經濟吸引力很強大，有時候經濟利益似乎大約潛在風險。 Gartner建議客戶考慮將低敏感度資料放到雲服務中，而對於「中等」敏感度的資料，企業必須進行風險評估。 對於高敏感度資料，則不應該考慮放到雲服務中。

雲服務供應商很少提供針對攻擊的任何賠償。 並且，考慮到雲供應商可能會離開雲計算領域，客戶需要確保該供應商可以歸還資料或者有一個備份應急計畫。 Heiser指出，當兩年前Mumboe SaaS關閉時，他們給客戶兩個星期時間來取回資料。 這給客戶敲響了警鐘，即雲服務可能會突然「消失」，客戶應該對這種情況做好準備。

即使是一些家喻戶曉的雲服務供應商(亞馬遜、谷歌和微軟等)，也可能出現資料消失的情況，至少在一段時間內消失，或者永久消失。 Heiser稱：「恢復並不是簡單的過程，將服務損失和可用性放在你的清單首位。 」此外，他還指出，即時服務升級可能導致廣泛的資料損壞。

IT管理人員習慣地認為，對於應用程式、服務、伺服器、存儲和網路，他們對自己能做什麼擁有控制權，但他們需要充分認識到，根據雲計算的性質來看，這種習慣的靈活性在雲計算中並不存在。

(責任編輯：fumingli)