Gartner：高水準的雲計算安全仍需長期艱苦努力

Gartner研究副總裁Jay Heiser：想達到高水準的HTTP://www.aliyun.com/zixun/aggregation/13634.html">雲計算安全性，依然艱苦卓絕，需要漫長的攀登與努力。 他表示，擁有敏感性資料的商業機構與政府機構看起來似乎更傾向于暫時不採用基於雲的服務，直到安全境況得到改善。

「與其他小型業務相比，金融行業對雲計算採取更加保守的態度」，昨天在與Gartner客戶的線上闡述中，Heiser如此說到。 關於「為最小化雲計算安全風險做準備」，Heiser認為，如果僅僅是因為擁有更多的靈活性和更少的依賴服務提供者能力，那麼使用IaaS建立安全底線要比使用SaaS在某種程度上更簡單。 但總的來說，雲服務提供者並不能像他們應當關心的諸如業務持續性、災害復原實踐等事情那樣對自己定位那麼清晰，這導致他們難以贏得客戶的信任。

「Gartner的客戶幾乎全都失望」于他們視作雲計算合約的不完整性，他們沒能看到期望的安全性的專業水準，Heiser說，「雲合約是不完整的」，他強調這個觀點。

發生在雲和客戶間的定義技術義務和法律義務的鬥爭，作為話題之一，已經被聯邦政府在其FedRAMP專案中採用，該專案旨在為供政府使用的雲服務提供者提供認證；鬥爭也同樣被雲安全聯盟（CSA）組織採用， 該組織旗下一些工作組耗費巨大努力來定義行業標準。

Heiser同時指出美國註冊會計師學會（AICPA）已將其原有的SAS70認證更換為服務提供者稱作是SOC1的認證，現在又出現了SOC2和SOC3，也表明了服務提供者系統的信任和安全。

但是儘管我們對這些標準化的努力表示鼓掌，雲計算安全性效果顯著，Heiser稱FedRAMP，這個預計將于明年正式運營的專案，和CSA標準一道，仍然只是早期的計畫，他們對雲安全的影響力可能需要過幾年才能顯現。 對於ISO/IEC27017雲安全標準和27018雲隱私標準，Heiser持同樣的觀點。 所有這些雲計算安全的努力都是值得的，但他們都需要在1-5年的發展時間，才可能成熟。

同時，企業和政府已經縮減了他們的安全需求，並開始評估潛在的雲服務和這些服務的安全選項。 Heiser稱著眼點應該在於尋找用於服務的資料的敏感度，企業不得不自我提問，如果資料丟失會產生怎樣的影響，安全是否是關鍵的競爭價值，資料是否符合常規擔憂等，「最終歸結為確定服務的合適性 」。

現階段最成熟有效的雲計算安全控制方法與身份及訪問管理機制、基於服務的加密措施有關，他承認，但雲客戶不得不諮詢加金鑰匙的管理和存儲方法，並且需要詢問是否風險可接受，他注釋道。 基於閘道的加密，或者有時候被稱作是代理閘道或管理，也是另外一個選項，不過他補充說到「這種方式經常快速變化」。 取證調查在當前並不那麼有效，考慮到總體安全控制，想要看到一套雲計算的「堅實技術」很可能需要耗費5-10年時間。

雲計算的經濟吸引力十分強烈，有時也的確出現經濟利益大於潛在的風險。 Gartner正建議其客戶在總體上允許將低敏感度的資料視作是雲服務；但如果資料屬於「中等」敏感度範圍的話，進行風險評估就十分迫切了。 如果資料屬於高敏感性，則不應該被視作是可行的或可允許的雲服務。

這項程式也意味著確保企業管理者知道這些事情，意識到他們「擁有」資料，並瞭解與雲計算相關的風險的最新情況。

雖然如此，雲服務提供者極少提供免于駭客攻擊的補償。 即便當客戶基本進入到一種供應鏈雲時，在瞭解他們確實如何運營這方面，SaaS比IaaS保留了更多的「神秘色彩」。 既然一種風險是雲服務提供者有可能破產倒閉，就需要確保供應商可以返回資料或者對資料備份有應急計畫。 當Mumboe SaaS兩年前破產時，他們給客戶兩周時間重新拿回他們的資料，Heiser提到。 這為我們敲響了警鐘，雲有時候的確會消失不見，為防止出現此類「傾盆大雨」，我們需要早作計畫。

即使是在當前雲計算中也家喻戶曉的名字亞馬遜、谷歌和微軟，也發生過資料消失的例子，至少發生一次，或甚至再沒能回來。 Heiser說，「資料恢復不是那麼簡單的程式」，「把服務丟失和有效性丟失列入名單的前列吧」，即時的服務更新能導致廣泛的資料損毀，Heiser最後指出。

針對應用、服務、伺服器、存儲網路和安全，IT管理人員已經習慣于他們控制著他們應該在企業內部做些什麼。 他們需要充分意識到，對靈活性的適應程度在本質上是不會出現在雲計算中的。

本文作者Ellen Messmer是Network World的高級編輯，文章涵蓋資訊安全領域的動態與技術趨勢。

(責任編輯：fumingli)