2013新年始伊，伴隨云計(jì)算應(yīng)用的大規(guī)模落地，越來(lái)越多用戶(hù)使用云計(jì)算有關(guān)產(chǎn)品，有關(guān)云計(jì)算負(fù)面聲音一定會(huì)不斷出現(xiàn)，下面是一些***信息安全官和安全愛(ài)好者所列出的云計(jì)算在安全方面的七大問(wèn)題，不管是否危言聳聽(tīng)，云計(jì)算的建設(shè)者都該引以重視，也許來(lái)自負(fù)面的聲音正式創(chuàng)新的***途徑。

1、沒(méi)有在一開(kāi)始就核對(duì)身份

安全登錄到云計(jì)算的唯一的方式是必須通過(guò)企業(yè)身份管理系統(tǒng)。雖然許多云服務(wù)允許企業(yè)內(nèi)部的任何人員在其中進(jìn)行注冊(cè)、創(chuàng)建自己的ID和密碼，而不用憑借員工在企業(yè)的個(gè)人電子郵箱地址，但這并不意味著IT部門(mén)或企業(yè)就應(yīng)該允許這種情況的發(fā)生。

“雖然這在一開(kāi)始也許很容易，但不整合企業(yè)的信息管理系統(tǒng)將使得企業(yè)的系統(tǒng)都與某些漏洞可謂是開(kāi)放的，同時(shí)也違反了相關(guān)的安全政策，并最終無(wú)法確保云計(jì)算的安全。”Axway***安全官約翰蒂倫斯說(shuō)。

以類(lèi)似的方式，一些公司正在快速部署IaaS服務(wù)——使用自助服務(wù)功能，以解決IT部門(mén)的緩慢和遲鈍。但這種方法繞過(guò)了相關(guān)的治理，允許在沒(méi)有防御的情況下訪(fǎng)問(wèn)云服務(wù)器。

“人們連接到他們不應(yīng)該看到的數(shù)據(jù)，如虛擬機(jī)上的傳統(tǒng)項(xiàng)目的從來(lái)不關(guān)的數(shù)據(jù)。”信息服務(wù)集團(tuán)新興的技術(shù)分析師和云計(jì)算專(zhuān)家斯坦頓瓊斯解釋說(shuō)。

如果它是一個(gè)面向客戶(hù)的云服務(wù)?訪(fǎng)問(wèn)模式是什么?“您將如何對(duì)其進(jìn)行整合以便允許用戶(hù)以類(lèi)似于單一內(nèi)部模式登錄。”俄亥俄州立大學(xué)***信息安全官朱莉·塔爾博特哈伯德說(shuō)。

2、對(duì)API安全要求充耳不聞

當(dāng)公司遷移到云計(jì)算，用戶(hù)將需要API(應(yīng)用編程接口)所以他們唯一可以利用公司的服務(wù)。云計(jì)算帶來(lái)的內(nèi)部服務(wù)和功能接近于客戶(hù)想要的訪(fǎng)問(wèn)?；贏PI的整合能夠滿(mǎn)足這一需求。

移動(dòng)開(kāi)發(fā)人員使用API在公司內(nèi)部設(shè)備和商業(yè)信息之上建立有價(jià)值的系統(tǒng)。“如果開(kāi)發(fā)人員能夠賺錢(qián)，這些收入會(huì)削減您的價(jià)值鏈，這樣您就可以通過(guò)開(kāi)發(fā)者的API門(mén)戶(hù)分享收益。”蒂倫斯解釋說(shuō)。

盡管如此，開(kāi)發(fā)人員訪(fǎng)問(wèn)API服務(wù)的API密鑰，已然被拿來(lái)與密碼進(jìn)行比較。您可曾知道如果您失去了您的密碼會(huì)發(fā)生什么嗎?因此，使用云服務(wù)API的***信息安全官們需要有一個(gè)堅(jiān)實(shí)的API密鑰的安全保護(hù)計(jì)劃。

3、云供應(yīng)商沒(méi)有保持足夠的獨(dú)立

隨著云服務(wù)的發(fā)展和新的供應(yīng)商的不斷涌現(xiàn)，諸如亞馬遜和Facebook之類(lèi)的老的供應(yīng)商已然將***方案納入到了他們的標(biāo)準(zhǔn)中，而且他們的產(chǎn)品也能夠?yàn)樾⌒推髽I(yè)提供服務(wù)，據(jù)蒂倫斯說(shuō)。

“這對(duì)于企業(yè)內(nèi)部基礎(chǔ)設(shè)施部署云計(jì)算是一種革命性的方法。”蒂倫斯說(shuō)。

一切仍在發(fā)展變化中，今天***的云解決方案可能明天便不是***的選擇了。供應(yīng)商在新標(biāo)準(zhǔn)方面的努力，TOSCA和CAMP(均來(lái)自于OASIS，結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織)及其提供的工具，使企業(yè)可以轉(zhuǎn)移到云架構(gòu)，而又不會(huì)不可避免地把自己鎖在一款給定的云。

企業(yè)應(yīng)該利用這些工具保持其獨(dú)立性，以便使得自己可以切換到新的云方法以便更適合的滿(mǎn)足企業(yè)的需求。在操作風(fēng)險(xiǎn)管理方面，業(yè)務(wù)彈性也很好，如果您需要有更好的靈活性，以便您能夠快速轉(zhuǎn)移到另一家服務(wù)供應(yīng)商。

4、認(rèn)為您已然將風(fēng)險(xiǎn)和責(zé)任都外包出去了

企業(yè)可以將一些基礎(chǔ)設(shè)施外包給云服務(wù)，但不能完全外包您企業(yè)的風(fēng)險(xiǎn)、問(wèn)責(zé)制以及對(duì)于相關(guān)義務(wù)的遵守。企業(yè)需要讓其云提供商提供一定的透明度，以便讓他們充分了解自己的風(fēng)險(xiǎn)模型和企業(yè)策略。

這些需求能夠顯示出您的云服務(wù)提供商可能適合也可能不適合您企業(yè)的某些評(píng)估和風(fēng)險(xiǎn)管理。“您不能隨便的與一家云服務(wù)供應(yīng)商簽下合同，要求云提供商承擔(dān)所有的風(fēng)險(xiǎn)。”蒂倫斯說(shuō)。云計(jì)算提供商當(dāng)然也不可能向您自己那樣關(guān)心您企業(yè)的風(fēng)險(xiǎn)。

去年春天的一個(gè)例子，那些將自己所有的業(yè)務(wù)都轉(zhuǎn)移到亞馬遜的單一的E2C服務(wù)的企業(yè)便遭遇了嚴(yán)重的停機(jī)問(wèn)題。而那些將他們的數(shù)據(jù)存放在多個(gè)可用區(qū)域的企業(yè)便是由于分散了風(fēng)險(xiǎn)，從而能夠快速恢復(fù)。

5、在沒(méi)有IT和安全部門(mén)參與的情況下簽署了云解決方案合同

在沒(méi)有相關(guān)技術(shù)背景的條件下，您很容易注冊(cè)并選擇了一些大大小小的云供應(yīng)商。市場(chǎng)上眾多的云服務(wù)：Dropbox、SharePoint、亞馬遜的額外的計(jì)算魅力等等，您的企業(yè)可能已經(jīng)在沒(méi)有IT相關(guān)專(zhuān)業(yè)知識(shí)介入的情況下使用云計(jì)算服務(wù)了，就像輸入您的信用卡號(hào)碼一樣容易!

“他們的想法是，他們可以繞過(guò)諸多的IT項(xiàng)目要求，并形成生產(chǎn)力。”Prescient Solutions***信息官兼國(guó)家網(wǎng)絡(luò)安全專(zhuān)責(zé)小組的成員杰里·歐文說(shuō)。

不幸的是，這種做法帶來(lái)了許多新的安全、性能和容錯(cuò)方面的問(wèn)題。在沒(méi)有IT部門(mén)參與的情況下實(shí)施企業(yè)解決方案，可能造成用戶(hù)與現(xiàn)有的系統(tǒng)、配置和應(yīng)用的沖突。不合格的人員對(duì)于監(jiān)管和遵守相關(guān)要求了解甚少，他們可能遇到的麻煩更多。

“雖然這些云應(yīng)用程序可以提供快速解決特定的功能需求，但他們所帶來(lái)的風(fēng)險(xiǎn)和脆弱性可能導(dǎo)致顯著的成本損失、系統(tǒng)故障、違規(guī)行為和面臨罰款。”歐文解釋說(shuō)。

正是由于這些原因，所有云的采納都需要進(jìn)行風(fēng)險(xiǎn)評(píng)估、合同審查、合規(guī)性檢查和企業(yè)內(nèi)部政策檢查。

當(dāng)在部署和采用云計(jì)算之前，沒(méi)有任何IT、采購(gòu)或是其他相關(guān)部門(mén)雞兒的情況下，企業(yè)有可能會(huì)失去所有對(duì)于相關(guān)數(shù)據(jù)、應(yīng)用程序、服務(wù)和基礎(chǔ)設(shè)施的治理，塔爾博特哈伯德說(shuō)。

6、高估云安全

信息安全論壇全球執(zhí)行副總裁史蒂夫·德賓指出，急于采用云服務(wù)，實(shí)現(xiàn)潛在的節(jié)約，可能會(huì)使企業(yè)專(zhuān)注于云計(jì)算服務(wù)的功能，而沒(méi)有在意云服務(wù)提供商提供安全的方式，或如何在安全方面進(jìn)行檢查。

這種情況往往在企業(yè)想當(dāng)然的認(rèn)為云服務(wù)提供商是為多家企業(yè)提供服務(wù)，他們必須有一個(gè)更強(qiáng)大的安全部門(mén)和強(qiáng)有力的政策、流程和程序時(shí)發(fā)生。

“事實(shí)往往并非如此。”歐文說(shuō)。

通常云服務(wù)供應(yīng)商將參加企業(yè)內(nèi)部基本安全水平、自動(dòng)安全應(yīng)用程序和平臺(tái)的部署，完成大部分的安全措施。其他云供應(yīng)商可能將更高水平的核心安全服務(wù)外包給專(zhuān)長(zhǎng)的第三方供應(yīng)商。但安全服務(wù)的第三方供應(yīng)商的服務(wù)可能不包括云計(jì)算提供者與客戶(hù)簽署的合同要求的相關(guān)輔助措施。

“您必須要求服務(wù)提供者保持特定的安全功能、文檔安全任務(wù)，并提供所有安全政策和方案以及安全報(bào)告的副本。”歐文說(shuō)。

7、不理解相關(guān)的費(fèi)用

當(dāng)云提供商展示他們的產(chǎn)品時(shí)，基于潛在客戶(hù)方面的因素他們經(jīng)常只展示基本的產(chǎn)品成本。

“不幸的是，在選定一家服務(wù)提供商之后，企業(yè)經(jīng)常需要一些額外的服務(wù)、軟件許可證執(zhí)照甚至硬件，以便執(zhí)行所有任務(wù)。”歐文說(shuō)。安全費(fèi)用和遵守有關(guān)規(guī)定的成本同樣將上升。企業(yè)低估了云計(jì)算的成本，甚至由于為了滿(mǎn)足一些不切實(shí)際的內(nèi)部IT資源期望，他們將需要了解云中的應(yīng)用程序的數(shù)量。

“這取決于云服務(wù)提供服務(wù)的類(lèi)型(即SAAS、PAAS、IAAS)，企業(yè)內(nèi)部所需資源的數(shù)量可能不會(huì)改變。事實(shí)上，我們很多部署了云計(jì)算的客戶(hù)并沒(méi)有因?yàn)椴渴鹆嗽朴?jì)算而減少其企業(yè)內(nèi)部的相關(guān)職能部門(mén)的配備。”歐文說(shuō)。

在任何情況下，企業(yè)將應(yīng)用程序和系統(tǒng)100%外包到云計(jì)算的可能性是很小的。即使企業(yè)將他們大多數(shù)的系統(tǒng)轉(zhuǎn)移到了云解決方案，但仍然有內(nèi)部的基礎(chǔ)設(shè)施、工作站和工程師方面的要求。“這樣一來(lái)，IT部門(mén)的成本只是受到了***限度的影響。”歐文說(shuō)。