穿越雲安全技術迷霧

使用者體驗

隨著雲計算的安全縫隙變得更加顯而易見，使用者開始尋找保護資料安全的途徑。 紐約投資銀行金融服務中心Cowen公司CIO Daniel Flax依靠雲計算實現公司銷售活動自動化。 儘管他對雲計算降低前期費用、減少停機時間和支援額外的服務的潛力感到滿意，但他承認他必須努力瞭解這項新興技術的安全弱點。 他說：「安全是我們必須直接面對的挑戰之一。 」

設在多倫多和新斯科舍省Halifax的交互生產公司Stitch Media的擁有者兼IT主管Evan Jones也擔心雲計算安全問題。 他說：「當你把重要的公司資料交給協力廠商時，想起來就感到害怕。 」

同數量越來越多的IT經理一樣，Flax和Jones開始意識到雲計算在安全方面沒有為公司提供免費班車。 去年發表的一份Gartner報告確定了對幾個領域中的安全風險的擔心，如資料隱私以及完整性與遵從性管理，這些擔心應當令那些考慮沖進雲計算的人放慢腳步。

Gartner分析師Jay Heiser警告說：「企業，特別是那些屬於管制行業的企業，必須權衡雲計算服務帶來的業務好處與風險。 」

雲計算最大的風險之一源于其性質：它允許資料被傳送和保存在幾乎任何地方――甚至分開保存在世界不同位置。 儘管資料散佈説明使雲計算具有成本和性能優勢，但不利之處是公司資訊可能保存在放置在隱私法鬆弛或者甚至不存在的位置中的存儲系統中。

Flax使用Salesforce.com公司的Force.com平臺實現Cowen全球銷售系統自動化。 他說確保資料避免存在風險的目的地的最佳辦法是與一家是上市公司的雲廠商合作，由於是上市公司，因此法律要求該廠商披露它是如何管理資訊的。

Flax說，Salesforce.com是上市公司，「因此，我們對管理它們的資料中心的嚴格的流程和規定感到放心。 」他說：「我們知道我們的資料在美國，我們擁有有關我們談論的資料中心的報告。 」

紐約州Troy市的Agora Games是一家建設視頻遊戲玩家Web社區的公司。 該公司對它的雲計算供應商Terremark Worldwide將它的資料和應用放在何處做不了主。 但Agora的首席技術官Brian Corrigan說，這種情況不久會改變。

他說，Terremark不久將為Agora提供「挑選虛擬機器實際上在何處運行的選擇。 目前，惟一的選擇是Miami的設施，但Terremark將增加其它位置，因此這將成為我們可以控制的問題。 」

密切跟蹤

雲計算散佈的性質也使跟蹤未經授權的活動充滿挑戰，即使在採用仔細的日誌程式時。 幾乎所有雲計算供應商都使用加密技術，如安全套接層技術，來保護傳輸中的資料。 但Heiser指出，確保存儲的資料被加密也很重要。 他說：「如果資料保存在共用環境中（這種情況很常見），你可以設想未加密的資料可能被未經授權的人員閱讀。 」

Indian Harvest Specialtifoods是明尼蘇達州Bemidji市一家向世界各地的餐館配送大米、穀物和豆類的公司。 公司IT主管Mike Mullin說，他依靠供應商NetSuite公司來確保他發送到雲中的資料得到全面的保護。 他說：「由於使用了SSL，我對我們的資料是安全的非常自信。 如果不是這樣的話，我想很多人會遇到問題，而整個雲計算行業也會遇到問題。 」

Mullin指出，雲計算採用者還必須謹慎評估他們自己的基礎設施和安全實踐，尤其是存取控制。 他說：「你的基礎設施與供應商的基礎設施一樣存在弱點。 」

使用Amazon.com公司的S3雲平臺與全布的全球的雇員和承包商共用檔的Jones也認為存取控制至關重要。 他說：「我們發現當我們分配不同的級別時，該系統能最好地滿足我們。 」敏感級別最高的文檔根本不傳送到雲中；它們被本地保存。 Jones說：「有一些文檔我們不准備傳送到雲中，但我要說95%的文檔不屬於這個級別。 」

Corrigan說，全面的雲計算安全需要一種整體的實現方式。 他建議：「為了取得超級安全的資料，從如何保存它們入手，然後解決如何傳輸它們。 通過某種雙因素認證方案管理訪問。 如果你真正擔心的話，你可以將你自己的認證伺服器保留在公司內部――這保證你掌握控制權。 」

遵從性問題

由於雲計算將業務資料交到外部供應商手中，因此它使法規遵從性變得比系統保留在公司內部時的風險更大。 失去直接的監管意味著客戶公司必須驗證服務提供者努力確保資料安全性和完整性堅固可靠。

Heiser指出任何雲計算供應商應當自願進行外部審計和安全認證，以確保特定控制的品質。 他說：「不願意合作是個警告標誌。 」

從業于嚴格管理的金融服務行業的Flax依靠SAS 70審計來確保他的雲計算供應商符合政府和行業要求。 他說：「現在有規定資料中心的SAS 70審計有什麼要求的標準。 」 由美國認證公共會計師協會開發的SAS 70審計涉及資料傳輸與保存技術和實踐，包括網路運營、資料保護和物理安全元素。

Flax說：「我們非常仔細地閱讀了這些審計標準，因為同審計某個人的帳本一樣，僅僅由於審計是全面的並不意味著它們完全符合要求。 」

總的來看，IT經理越來越意識到雲計算的安全弱點並控制它們的事實表明採用者開始現實地而不是透過有色眼鏡看待這種新興技術。

安全雲計算五步走

瞭解雲計算特有的鬆散結構對傳送到它上面的資料安全有何影響。

確保雲供應商能夠提供有關其安全架構的詳細資訊並願意接受安全審計。

確保內部安全技術和實踐，如網路防火牆和使用者存取控制，可以很好地契合雲安全措施。

瞭解法律、法規對傳送到雲中的資料有何影響。

關注可能影響到資料安全的雲技術和實踐的變化。