如何把握雲計算所帶來的安全風險

雲計算是個2007年第4季度才興起的新名詞。 對它的定義和內涵眾說紛紜，我們至少可以在網上找到100種說法，但目前還沒有公認的定義。 本文試圖綜合各家說法的優點，提出雲計算定義和特點與大家商榷。 對這個定義的要求：能夠用最精煉的語言描述，抓住雲計算的本質，覆蓋當今流行的典型雲計算解決方案（包括Google雲計算 、Amazon雲計算、Salesforce雲計算、雲安全等），但又能區別其它相關概念（如網格計算、 平行計算等）。

定義：雲計算(Cloud Computing)是一種新興的商業計算模型。 它將計算任務分佈在大量電腦構成的資源池上，使各種應用系統能夠根據需要獲取計算力、存儲空間和各種軟體服務。

開發者喜歡雲計算，因為它部署後很快能投入運行；企業喜歡雲計算，因為基礎設施的費用會降低;使用者也喜歡雲計算，因為他們能更快地獲得新功能。 然而幾家歡喜幾家愁，負責公司資訊安全的IT專業人士正絞盡腦汁，尋找將應用程式和資料安全轉移到雲服務中的方法。

長久以來，IT組織的重點目標之一便是強化身份管理技術及相關流程，而雲計算所帶來的安全風險無疑使這個目標不進反退。

公司可以將目錄服務驗證擴展到企業環境外，以處理雲服務中的應用程式或系統，可是如果協力廠商系統受到攻擊，驗證系統也可能會連帶地受到攻擊。 企業也可採用新的解決方案：在雲服務和現有基礎設施之間設置隔離帶，這種方法的缺點是企業將不得不整合多種身份管理和訪問管理系統，因此這種繁瑣的替代方案不具吸引力。

幸運的是，某些雲供應商開始著手解決這個問題。 谷歌提供的新功能可以將谷歌應用程式整合進現有的單點登錄工具，既提高了安全性又簡化了管理流程。 我們採訪的一家企業部署了先進的驗證服務器，從而雲系統就可通過羽量級目錄訪問協定(LDAP)進行驗證。 另一家企業將其基於網路的驗證協定進行擴展，使之能與外部來源協同工作，並通過網路服務，使用內部託管系統對雲服務進行驗證。

資料丟失與備份

資料存放在何處?哪些人有權訪問?資料安全嗎?這些都是大問題，因為除了軟體即服務(software as a service，SaaS)供應商之外，雲服務供應商很少具備長期處理敏感性資料的經驗。 一般說來，資料在雲服務中是共用存儲的，因此具有潛在危險。 其實，我們就是把資料存放在公司內部也是有風險的，更別提雲服務了。 我們經常對企業內資料訪問的風險/利益進行評估，這種方法同樣也可套用到雲服務上，判斷可將那些資料轉移到雲服務中，以及如何保護資料。 這就需要我們瞭解並核實供應商的標準，搞清楚是否可以對它們進行修改。

在使用雲服務(如亞馬遜公司的彈性計算雲)時，企業可對虛擬實例中運行的作業系統、應用程式或資料庫管理系統進行資料加密。 在使用其他服務(如應用程式託管)時，IT組織需要在開發程式時多留個心眼，確保在程式中內置安全措施(比如說資料加密)。

不論資料存放在何處，企業都應該慎重考慮資料丟失風險。 亞馬遜公司明白電腦會時不時發生故障，所以它建議客戶通過冗余和備份計畫應對電腦故障。 有些雲供應商提供備份服務或資料匯出功能，這樣企業就可以自行創建資料備份;另一些供應商則要求客戶使用企業自行開發或協力廠商開發的備份程式。