雲安全的重要性

截至目前，雲安全聯盟已經不止一次地發佈報告，建議和督促企業採取措施，以更好地保護雲服務。 雲安全聯盟新的報告中對雲計算的定義和國際標準與技術協會（NIST）的定義一致，其它的還按需自我服務、寬頻網路接入、資源分享、快速配置和可擴充性、計量使用等。 NIST還將雲服務分成了三類：軟體服務（SaaS），即應用程式由服務供應商提供；平臺服務，即服務商提供工具和程式設計語言，客戶來開發和部署自己的應用；基礎設施服務，即服務商提供帶網路的硬體平臺供客戶使用。 「在雲計算V2.1版本的指導意見中安全是需要注重的關鍵領域。 」在早期的一些草案審議議題簡縮版本就提及了雲安全的重要性，這些安全議題分佈在13個領域的76頁檔中，每個議題還包括了更加具體的建議。 檔建議雲服務商採用ISO/IEC 27001資訊安全標準來構建資訊安全管理系統。 客戶應該認真核實供應商的資質認證，同時還要看他們制定的計畫是否按照認證標準和要求來做的。 至少，供應商應該向客戶展示他們的做法是參照ISO 27002國際標準來制定的。 報告指出，客戶需要清楚地認識到，在他們所購買的雲服務類型中，他們需要為數據的安全和應用程式的管理承擔怎樣的責任，服務商又承擔怎樣的責任。 例如，亞馬遜的EC2基礎設施作為一個服務實體的位址，提供的是環境和虛擬化的安全，而不是虛擬的情況下作業系統、應用程式和資料本身的安全。 通過Salesforce.com的客戶關係管理軟體（CRM）提供的雲服務，服務商就必須負責一切的安全，包括應用程式和資料。 企業一定要充分瞭解供應商的安全措施，否則就要冒著危及他們資料安全的風險。 「除非雲供應商樂意向客戶披露他們的安全控制，以及它們所實施的範圍和程度，消費者才會知道哪些控制對於保持其資訊安全是必須的，否則就會導致客戶做出錯誤的決定，並存在很大的風險。 」報告說。 報告指出，一般來說，雲服務的潛在使用者需要針對資料的重要性以及業務安全做風險評估，並讓供應商提供相關的證明。 「對於任何涉及安全的方面，企業應採取以規避風險為主的方式轉移到雲計算環境，並選擇安全的方式。 」報告說。 為此，報告建議採取以下步驟：1、仔細考慮和確定什麼樣的資料或功能運行在雲環境中；2、評估該資料或功能對企業的重要性；3、確定採取哪種雲：公有雲，私有雲，社區，混合雲；4、評估現有的控制措施對風險的減少程度；5、畫出進出「 雲」的資料流程圖，以確定風險的暴露點。