根據最新的威脅報告稱，對于大多數企業而言，在2013年部署云服務將會引發新的問題，這些問題主要圍繞數據連續性、數據安全性和可靠性。

安全公司Sophos的2013年威脅報告警告稱，企業在部署云服務時，將面臨新的數據安全風險。企業應該在合同談判階段就解決這些風險，也就是在數據轉移到服務供應商的大規模數據中心之前。該安全公司高級安全顧問Chester Wisniewski表示，在某些情況下，云服務增加了企業的攻擊面，并且，削弱了已有的安全控制和政策。

Wisniewski表示：“企業應該多花時間與律師溝通，以確保企業的所有需求都得到滿足，同時，確保合同中明確列出企業的所有要求，這樣，當發生事故時，雙方都知道自己的責任所在。”他表示，企業在部署云服務時需要考慮三個問題。

1.如何防止信息泄露？

Dropbox等服務使員工能夠輕松地存儲和共享包含企業數據的文檔。最初企業試圖“鎮壓”第三方服務（例如Dropbox），但現在企業開始接受這些服務，同時添加了控制（例如加密）以確保敏感數據不會落入壞人手中。Wisniewski表示，企業應該正確部署數據保護安全技術，并使用戶的操作簡單，他表示，“你需要確保數據在上傳到云端前是安全的。”

Wisniewski認為，基于云計算的服務能夠增強企業原本“支離破碎的”數據安全辦法。企業可以通過多種方法部署安全控制，確保員工能安全地使用移動設備訪問數據或者遠程進入云中系統。一款蘋果iPad應用可以提供加密和解密功能以多一層保護，通過這種應用，他表示：“財務、銷售和營銷人員不必具備高超的加密技術就可以保護數據。”

2.在合同要求中，是否規定云供應商需要接受適當的審查，是否明確了安全標準？

有針對性的攻擊者已經了解到，業務合作伙伴（通常是服務于大型企業的小企業）是進入大型企業網絡的“突破口”。 Wisniewski表示，航空航天和國防行業的零部件制造商、運輸商和供應商都可能被攻擊者利用。“網絡罪犯已經意識到，大型企業的業務合作伙伴通常都是小公司，他們的安全防線松懈，但仍然是大型企業受信任的實體，這已經成為一個真正的問題。”

合同中應該明確企業可以檢查第三方的系統是否已經經過審查，以及是否具有適當的安全控制。云供應商應該提供證據證明他們符合安全標準，并提供一種機制允許企業進行獨立測試。Wisniewski表示：“有些企業在信用卡泄露事故的數月內才進行PCI評估，最后的結果顯示合規性沒有得到應有的重視。”

數據保留、故障轉移、事件響應程序、系統監控和維護都應該在合同協議中進行明確地規定，以確保當企業與云服務供應商的關系有變化時，企業有辦法取出數據，并轉移到另一個供應商處。

“如果你有些偏執，無法與供應商達成一致的協議以按照你的標準保護數據，那么，你將需要運行自己的數據中心，”Wisniewski表示，“使用云計算服務的部分代價在于它是廣泛分布式的，你不知道你的數據將在什么位置。有些數據可能受到合同的控制，但其他部分根本不在你的控制范圍內，在很多情況下，可能有人彈出服務器的硬盤而取走你的數據。”

3.你能夠防止對虛擬服務器的快照（捕捉當前運行內存鏡像——包括所有運行中的加密密鑰）嗎？

很多企業不是使用公共云，而是使用虛擬機來在其數據中心內建立私有云。Wisniewski說道，這種方法被認為是降低成本和提高效率的好辦法，但同時它也帶來數據安全性問題。

專家稱，雖然安全研究人員已經證實技術性很強的管理程序攻擊是可行的，但網絡罪犯使用這種復雜的攻擊的可能性很小。企業面對的問題是，虛擬服務器內的潛在的缺陷。配置錯誤和糟糕的政策都可能被攻擊者利用來獲取對敏感數據的訪問權限。例如，當虛擬快照捕捉系統狀態（備份系統的常見方法）時，通常密碼和加密密鑰都在內存中，因為需要利用它們來解密文件。快照非常節省時間，也是一個很好的備份機制，但企業需要安全地存儲快照。他表示：“你需要將加密密鑰保存在內存中，但你應該在內存中對加密密鑰進行模糊化。”