云安全聯盟(CSA)對于組織部署云計算資源提出了一些需要關注的關鍵IT操作領域：治理和企業風險評估，法律和合同問題，電子發現的程序，合規性和審計，信息生命周期管理，可攜帶和互操作性，業務連續性和災難恢復，數據中心運營，事件響應、通知和補救，應用安全，加密和密鑰管理，身份和訪問管理，存儲器操作，虛擬操作。

在傳統的數據中心內，圍繞需要保護的基礎設施和數據構建穩定的邊界，在適當的位置可以安置管理程序和控制。由于組織能夠控制其服務器的位置并且利用全部物理硬件，這種部署比較容易管理。然而，在云中，由于應用動態地遷移并且組織與第三者共享同一個遠程安置的物理硬件，邊界變得模糊并且減弱了對安全的控制。

云不使用專用虛擬網(VPN)技術

這意味著匿名攻擊可以像任何系統的合法用戶或管理人員那樣訪問連接點。在傳統的計算環境中，只有少數服務器可接入互聯網。在云計算環境中，大多數服務器可接入互聯網，這顯然擴大了攻擊面。在云中，多租賃意味著多個不同的個別終端用戶群體共享相同的服務和/或資源。這些共享的環境在一個用戶的資源堆內具有特殊的風險。風險隱現于共享該云的群體將會有意或無意地訪問彼此的私有數據。特別是在基于IaaS的云中，安全研究者發現了在舊系統中不存在的全新漏洞。由于云消費者的數據存放在公共的存儲器硬件中，松懈的管理或惡意攻擊可能危及其安全。在云中，由于應用的邊界是動態變化的，隨著應用在云中的隨機遷移，安全方案也必須是動態和虛擬的，即實現按需安全。

沒有位置特異性有利于云服務的廣泛可用性。然而無論用戶或云供應商或者兩者都不可能直接確認在特定云中計算資源的詳細位置。在安全防衛者甚至不知道數據在什么地方的時候，設想他們如何保護數據?云供應商能夠如何識別用戶的數據(為了法律和其它目的)?如果用戶退出云方案，云供應商如何安全地抹去用戶的數據?云計算的公營性質嚴重地影響到數據的隱私和機密性。云數據通常存儲于純文本中，并且幾乎沒有公司完全了解其數據存儲所擁有的敏感級別。數據損失和泄漏是云中最嚴重的安全問題之一。

在存儲和傳送數據的時候，應當始終加密數據，在存儲的時候使用單獨的對稱密鑰。對用戶密鑰特有的保護將需要云供應商的一些合作。與專用硬件不同，在下列情況下將內存緩沖區清零不可能刪除密鑰：①內存被一個系統管理程序加固而使其持久地保存。②為了恢復的需要，虛擬機已經被快照獲取。③虛擬機在連續地遷移到不同的硬件上。如何在云內安全地使用密鑰是一個尚未解決的問題。

在決定如何鑒定大量的不同用戶的時候，互聯網的可接入性和多租賃形成挑戰。因為常規的鑒定服務趨向使用共享的公共資源，資源縮放和多租賃使鑒定過程變得復雜。例如，在Active Directory中，Everyone團體的成員能夠看見和列出所有種類資源的清單。

第一代云要求所有終端用戶在其數據庫中具有單獨的賬號，必須分別登錄到每個他們所具有賬號的網站上。很明顯，要求終端用戶為他們將來要使用的每個Web服務注冊和管理個別的登錄賬號是不切實際的。任何優良身份元系統的主要原則是用戶應該只必須出示服務和事務處理所必需暴露最少的身份信息。關于廣泛身份鑒定方案的工作仍然在進行之中。

在《內部威脅的真實程度》一書中，對3000名英國工人的調查結果顯示，37%的人曾經與朋友和家庭共享特權的公司信息。即使58%的個人計算機與其他人共享或者至少能夠被別人訪問，21%的便攜/桌面計算機擁有者曾經將公司的數據轉移到其個人計算機中，14%的人承認將工作信息轉移到個人的智能手機中。82%的回答者認為內部威脅等于或者比由外部攻擊者對組織構成的威脅更大。內部安全可能是內部人員有意或無意而造成的，也可能是內外部勾結而進行的惡意攻擊或竊取信息。但是，迄今為止，涉及云計算安全的文獻中很少討論云的內部安全問題?！斗烙鶅炔客{，降低IT風險》討論了云計算、虛擬化和內部威脅。云計算中，內部人員不再僅僅是在防火墻之內的職工，并且也包括為組織提供云服務的服務供應商內部成員，這增加了內部威脅的復雜性。內部威脅明顯地涉及到虛擬化，在關鍵服務器被虛擬化的時候，需要嚴格控制以限制特權用戶控制那些虛擬服務器的權利。

云計算的性能問題

Compuware公司在2010年11月對幾乎700個美國和歐洲企業進行獨立調查，其中378個北美公司，英國、德國和法國各100個公司，并于2011年2月19日發布了《云中性能調查報告》。

《云中性能調查報告》認為，云計算性能嚴重地依賴于延伸交付鏈中的每一個組成部分：數據中心、傳送網絡(包括互聯網、廣域網、局域網或物理運輸工具等)、其他服務供應商，甚至終端用戶的設備和瀏覽器。

Compuware公司以前的研究清楚地證明，應用性能和收入之間存在直接的聯系。例如，在公司網站頁面響應時間接近4秒的時候，用戶越來越感到灰心;在達到6秒的時候，33%的用戶將放棄訪問頁面，并轉向競爭企業的頁面。

影響傳送網絡響應時間的因素包括：正在傳送的數據總量、WAN的帶寬、往返行程時間、應用輪流的數目、同時TCP會話的數目、服務器端的延遲和客戶端的延遲。Riverbed Technology公司在《釋放云性能，使云的承諾成為現實》的報告中比較了IT發展的歷史，分析了網絡反應時間對公共云性能的影響。公共云可以或可以不 合并 ，就是說，一個企業可以將其資產分離在其數據中心和其他人的云中，但是一些資產將在更遠處的公共云中。將資源遷移到遠離用戶會導致性能問題。在云供應商方面有一個假設：如果他們管理其云內基礎設施的性能，在云和終端用戶(無論業務用戶或IT用戶)之間的性能將不會影響技術和業務價值。這個假定是不成立的，因為云服務將迫使用戶和其數據拉開更大的距離而導致更大的延遲，并影響性能。

《采用云的風險》指出，云服務不能擔保消費者獲得高品質的Web體驗。云供應商在跨越地理網站性能上展示出了遠離目標的變化，在有些重要城市，交付終端用戶的響應時間比有些城市差不多慢10倍，許多云服務在消費者居住的互聯網邊緣展示出性能問題。

如果假設應用跨越云的邊界，那么這將使得數據的存儲和傳輸工作變得很復雜。亞馬遜在開發新的云端服務的過程中發現，發送大量數據最便宜的做法是：通過連夜送貨服務運送磁盤，甚至整個電腦。除了廣域網帶寬是瓶頸外，云內部網絡技術也可能是一種性能瓶頸。數據中心節點、交換機、路由器的連接會帶來帶寬性能瓶頸。帶寬不足正是科學家們幾乎不使用云計算的原因。

Webtorials出版的《2010年云網絡報告和廣域網》提出沒有互聯網的云網絡。例如，一些云計算定義設想云服務總是通過互聯網交付。但是，互聯網不總是用于訪問云計算方案中最適當的連接服務。

云計算的可用性問題

無論消費者或服務供應商選擇哪種云架構，服務的可用性都是極為重要的。

然而，一些專家認為，大多數當前關于云計算的討論未能理解，云計算模式便利的因素將要釋放洪水般巨大的計算需求。需求的釋放會給可用性帶來壓力。

因此，云計算的可用性是一個綜合性問題。云計算的安全、性能以及日益增長的具有新功能的應用需求都將影響云計算的可用性。

根據Forrester Research的報告，在四種重要軟件行業SaaS面臨重大障礙。其中包括：操作系統和數據庫、內部IT管理和數據管理的軟件、遺留和確定的過程應用和縱向聯合的應用，例如有價證券交易處理系統。這些系統構成所有軟件投資的40%，并且通常保持在內部的理由是：安全考慮、現有基礎設施的投資以及與其它應用緊密結合的需要等。

有些軟件與硬件具有強烈的關聯性。例如，所安裝的操作系統就與本機硬件的MAC地址相關聯;在系統運行時需要在內存中堆棧的支持;并且操作系統需要占用許多硬件資源，包括存儲器和內存。因此，如果將操作系統作為一種云服務，在運行期間它可能會隨機遷移到多個云計算機上。這可能需要從結構上對操作系統進行重新設計，以使其與硬件無關。重新開發適合于云的操作系統需要巨大的投資。另外，大型操作系統的遷移將非常耗時，這將不僅降低云資源的可擴展性而且也會提高云消費者的使用費用。最后，與操作系統密切相關的硬件模塊TPM也將面臨問題。操作系統的固有特征決定了其不可用于一種云服務。

為了實現云計算的若干好處，云資源都被虛擬化，比如服務器、存儲器和網絡等。因此，在云環境中多租賃模式的應用可能自動地隨機選擇硬件資源。這意味著，影響系統性能的關鍵數據可能通過云網絡在服務器之間不斷地交換和遷移。這將嚴重地影響系統的實時性。云計算的特征決定了其不適合于實時控制操作。

目前，無論在性能、價格和資源使用上，公共云計算尤其不適合于CPU密集和大存儲容量的應用，似乎更適合于資源的需求存在低谷和高峰的應用以及非關鍵服務。依據附表的數據，2008年用戶用25.6美元從亞馬遜只租用了價值1美元的CPU。因此，即使考慮供電和其它管理開銷，大數據量高性能密集計算的應用租用公共云也顯然是不合算的。美國能源部的伯克利國家實驗室在性能和價格方面將其在麥哲倫海峽的私有云中提供高性能計算的能源實驗床的工作負荷與其他商用云供應商相比較，結果顯示，亞馬遜的EC2云服務在性能上非常有競爭力，但是每CPU小時的價格是20美分，而在實驗室的工作負荷少于每CPU小時2美分。

只有在公共云中使用SaaS服務模式才能實現云計算的所有好處。因此，SaaS服務模式的發展將不可避免地成為云計算成功的試金石?！对铺焓? 分析家關于適合于基于服務性組織SaaS ERP的觀察》認為多租賃模式是否適合于迅速變化的組織是一個備受爭議的問題。 一個多租賃SaaS供應商的所有用戶使用完全相同版本的系統，一個用戶可能希望修改應用軟件的現有版本，而其他用戶可能堅持保持現有版本。SaaS模式還存在用戶數據被鎖定的問題。

總之，理論模擬與實際的運行結果相差很大，云計算經濟學仍然面臨挑戰。預期可能帶來的好處仍然需要云計算在實踐中不斷完善才可能真正實現。#p#

云計算發展的兩大瓶頸

數據主權問題涉及到法律法規和政策，尤其需要國際合作和信任。云計算的軟件即服務(SaaS)模式將計算資源、應用軟件開發、運行和管理與云消費者及其終端用戶的距離比傳統計算模式拉得更遠，會削弱用戶的能動性。對信息技術(IT)占優勢的國家，數據主權和用戶能動性是云計算發展的瓶頸。但是，對IT處于劣勢的國家就不僅僅是瓶頸，可能涉及到更深層次的問題。

歷史證明了將資源遷移遠離用戶會導致一系列問題。云計算將資源更加遠離用戶，從而使這些問題更加突出。因此，云計算發展將面臨兩大瓶頸：數據主權和消費者的能動性。之所以稱其為 瓶頸 ，因為這兩個問題不能靠云計算本身來解決。

數據主權涉及到云用戶對數據的處理權甚至國家安全。只靠技術不能解決數據主權問題，國內的法律法規和政策以及國際法律和條約也不能完全解決，還需要國家之間以及用戶(消費者及其終端用戶)和供應商之間的信任。

云計算的特點之一是，消費者及其終端用戶遠離數據和計算資源，同時資源部署和數據處理高度自動化。這嚴重地降低了用戶的能動性。不斷變化的用戶需求始終是軟件工程的瓶頸，SaaS服務模式可能使這個問題更加嚴重。

為了保證社會穩定、經濟繁榮和安全，必須從國家安全的高度認識數據主權和消費者能動性的重要性。各個國家必須制定自己的國家云計算發展戰略，將其作為國家安全戰略的一部分。

數據主權

《關于數據主權的意見書 在云中地理定位的重要性》詳細說明了與云中所存儲數據的真實性和地理位置相關聯的數據主權問題和范圍。在數據和資源被虛擬化和廣泛分布的時候，在法律和政策的約束條款中需要特別著重關心的是確保數據主權的安全。

為了性能、控制和連續性的原因，許多云SLA擔保數據將只存儲在一個特定地理區域之內的數據中心中(例如，在一個州、時間區或者政治邊界之內)。然而，實際上核實云服務供應商是否滿足其契約的地理義務是挑戰性的問題。例如，為了降低IT成本，云服務供應商可能有意或無意地違反SLA而將數據移動到外國的數據中心。然而，這種動作可能使數據對外國政府是可用的。

數據主權仍然存在許多尚未解決的新問題，其中每個都需要進一步研究。例如，什么是確定和安置已知和可信的地界標最正確的方式?政府能夠扮演這種角色嗎?能夠激勵云服務供應商為其競爭者擔當地界標嗎?能夠授予一些特定數目已知或未知的誠實地界標作為可信的Web嗎?

在技術方案難以解決難題的時候，為了阻止和懲罰不法行為而做出法律修補規定常常只能在發現了已經發生的欺詐行為后制定。同樣，關于法律保護可用于在地理位置不可知的云中存儲的數據，存在法律定義上的模糊。

現在，存在許多治理數據跨越國家邊界流動和存儲的法律，包括治理隱私法、知識產權法、執法規章，電子發現行為規范和情報搜集法規等。在加拿大的新斯科舍和不列顛哥倫比亞兩個地區，公共團體所掌握的大多數個人數據不能夠移動到加拿大邊界之外。澳大利亞關于跨境數據流動的第9國家隱私法則禁止向外國傳遞個人信息，除非滿足某些標準，包括外國支持的法律充分地類似于國家隱私法則等。同樣，歐盟的數據保護法令廣泛地限制個人信息從歐洲內部向任何其國內法律不提供 足夠保護水平 的國家流動。雖然美國商務部已經為美國公司組織了一個自愿機制，以驗證與這些歐盟法令合規(《美歐Safe Harbor法則》)，這些機制的充分性經常遭受批評。2010年4月，德國數據保護權力機構發行了一個決議案，要求德國數據出口商更加努力地與美國Safe Harbor驗證實體合作，有效地對Safe Harbor計劃滿足歐盟指導方針的充分性提出疑問，缺乏努力的出口商將可能面臨的制裁。美國的愛國者法案允許聯邦機構在沒有通知或得到數據所有者同意的情況下向供應商索取和獲得數據，其中可能包括商業秘密和敏感電子會話。受到像愛國者法案等美國法律權限的影響，關于將數據存儲在以美國為基礎的云中，其他國家表示持保留態度。

消費者的能動性

云計算使消費者及其終端用戶遠離數據和計算資源以及云計算對資源部署和數據處理的高度自動化嚴重地降低了用戶的能動性。特別是SaaS服務模式，第三方軟件開發商取代消費者內部的IT部門負責應用軟件的開發，第三方云供應商取代了消費者的業務部門負責應用軟件的運行和管理，這非常不利于應用軟件開發者及時有效地了解和利用特定消費者的體驗和需求。

在傳統計算模式中，大部分組織內部的IT部門與業務部門的協作始終存在著嚴重的問題，只有少數優秀的公司充分重視和利用了終端用戶的體驗。由于SaaS模式削弱了云消費者的能動性，有可能更加惡化這種狀態。

非常遺憾的是，雖然終端用戶體驗和需求是促使組織業務需求變化最重要的原因之一，但在幾乎所有云供應商的報告中，都有意或無意地忽略了這個問題。一些獨立的研究報告非常強調終端用戶體驗的重要性，并且在測量應用軟件性能的時候，把用戶體驗排在第一位。然而，SaaS模式使應用軟件開發者遠離消費者組織之外，負責運行的第三方應用軟件供應商也不直接與消費者的終端用戶接觸。同一個SaaS服務的多個消費者所擁有的終端用戶群是不同的，但是，如果一個消費者的用戶群達到相當規模而需要重新設計軟件結構的時候，SaaS供應商不可能感受到這種需求。并且，在其他消費者尚沒有這種需求的時候，SaaS開發商幾乎不可能為某些消費者專門開發全新結構的軟件。

由于遠離消費者的業務部門及其終端用戶，SaaS開發商與消費者業務部門之間的協作比與消費者內部IT和業務部門之間的協作可能更加困難。因此，即使不考慮虛擬化和網絡帶寬的影響，SaaS模式也似乎不太適合于大型應用軟件。

SaaS模式是計算的一個顛覆性的演變。傳統上，應用軟件可以由第三方軟件公司開發，而在SaaS模式中，應用軟件演變為由第三方公司運行和管理。因此，削弱消費者的能動性將嚴重影響操作、戰術和戰略等所有的層面。

在消費者操作層面，傳統上，少數大型軟件公司通常壟斷了系統軟件和大型應用軟件的開發和市場。可以預見，不但少數大型SaaS應用軟件開發商將可能壟斷應用軟件的開發而且少數大型SaaS云服務商將可能壟斷應用軟件的運行和管理。SaaS模式的特征決定了在應用軟件的開發、運行、版本升級和漏洞修補等整個生命周期中，消費者將幾乎完全失去能動性。雖然在一些中小規模的SaaS服務中消費者能夠獲得一些可觀的利益，但是根本上失去對應用軟件的控制和治理的權利和能力。

在國家戰略層面，如果由國外的SaaS應用軟件開發商和服務商完全壟斷一個國家內部應用軟件的開發和運行，這個國家將失去應用軟件市場，其中包括巨大的市場利益和對應用軟件的控制和治理。因此，SaaS模式將影響這個國家的經濟安全。這對IT處于劣勢的國家是一個嚴重的挑戰。

特別是，如果一個國家的重要信息系統采用SaaS模式，將可能產生更嚴重的后果。國家的一個關鍵基礎設施嚴重地依賴于其應用信息系統，失去對重要信息系統控制和治理的能動性就必然失去對相關關鍵基礎設施的控制和治理的能動性。也就是說，削弱消費者能動性將可能不僅影響國家的經濟安全而且將直接影響國家關鍵基礎設施的安全。