根据Gartner的说法,云计算充满了安全风险。聪明的客户会在委托云计算厂商之前问一些很棘手的问题,并考虑如何从中立的第三方获得对于云计算实施的安全评估,这是Gartner在其六月份的题为《评估云计算的安全风险》的报告中表达的观点。
Gartner表示,云计算“的独特属性要求在诸如数据的完整性、数据恢复和隐私保护等方面予以风险评估,同时还会要求在一些司法领域如电子证据、法规遵从和审计等方面进行评估。”
按照Gartner的定义,云计算是这样一种计算形式,在其中有“大量可灵活扩展的IT能力,以‘服务’方式交付给使用互联网技术的外部客户。” Amazon的EC2服务和Google的Google应用程序引擎等都是云计算的实例。
客户必须要求透明度,以避免供应商拒绝提供有关安全程序的详细资料。要询问并确认相关决策者、架构师、编码员和操作者的资格;风险控制流程和技术机制;还有验证服务和控制流程的测试等级是否已如期进行,以及云计算厂商是否能够确认意料之外的风险。
Gartner在报告中列出了客户在选择云计算厂商之前应当关注的七个安全问题。
1、特权用户的访问权限。在企业之外处理敏感数据会带来内在的风险,因为外包服务一般都会绕过企业IT部门对内部所施加的“物理的、逻辑的和人员控制”。必须获得尽可能多的有关管理企业数据的人员的信息。 “必须要求供应商提供有关雇用和监督特权管理员的具体资料,以及控制他们的访问的办法,” Gartner表示。
2、法规遵从。客户对于他们自己数据的安全和完整性是要负最终责任的,即便是把数据交由外部的服务供应商托管也是如此。传统的服务提供商都要接受外部审计和安全认证。而如果云计算服务商拒绝接受监督和审计的话,就“表明客户只能行使一些最无关紧要的职能,”Gartner说。
3、数据的存放位置。客户在使用云计算时,可能无法确切地知道你的数据到底被托管在什么地方。事实上,你甚至可能不知道这些数据存放在了哪个国家。因此必须要问清楚,服务商将会具体在哪些司法管辖区存储和处理数据,他们是否会按照客户的要求通过合同约定以遵守当地的隐私保护条例。
4、数据隔离。数据在云中通常是处在一个和其他客户的数据共享的环境中。加密虽然是有效的,但并不是万能灵丹。因此要“找出你的数据在休眠时是否做了隔离,”Gartner建议说。云计算供应商应提供证据,证明他们已设计了加密计划,并通过了经验丰富的专家们的验证。 “任何加密上的意外,都有可能导致数据完全无法使用,即便正常的加密也可能使数据的可用性变得相当复杂,”Gartner表示。
5、数据恢复。即使你不知道数据存放在什么地方,云计算供应商也应该告诉你,一旦发生灾难性事件,你的数据和服务将会如何进行保护。“任何无法提供异地数据与应用基础设施复制的服务都很容易完全失效,”Gartner表示。所以要询问供应商是否有“能力进行完整的恢复,哪怕恢复时间过长都无所谓。”
6、调查方面的支持。Gartner告诫说,调查不适当的或非法的行为,在云计算领域几乎是不可能的。“云计算服务特别难于进行调查,因为多个客户的日志记录和数据可能存放在同一地点,也可能遍布在不断变化的一组主机和数据中心。如果你不能得到合同的承诺,以支持特定形式的调查,以及供应商已有过成功支持此类调查的案例的话,那么只依靠调查和发现证据的安全假设就将是不可能的。”
7、长期生存能力。理想情况下,你的云计算服务商绝不会破产或被一家较大的公司收购和吞并。你必须确定数据在发生了此类事件后仍能继续使用。“要询问可能的云计算服务商,怎么才能要回你的数据,数据格式是否可以让你能够导入到替代的应用中,”Gartner说。
阅读(451) | 评论(0) | 转发(0) |