最近，關于TikTok的報道鋪天蓋地。這是因為，從國會到學術界，從跨國公司到小企業，從董事會到臥室，這個頻道都因其劫持思想、情感和數據的潛力而引起了人們的注意。云計算不是更重要嗎?作為一種單一的資源，云不是可以存儲更多的數據，擁有更大的覆蓋范圍和影響力嗎?難道它不應該得到同樣多的關注嗎?Archive360的聯合創始人兼首席技術官TibiPopp將對這些問題和相關問題進行探討。　　

當然，關注可能意味著更多的監管，當涉及到技術時，結果可能是喜憂參半的。在云安全的情況下，即使更多的立法是必要的，錯誤的授權可能是有問題的。那么，正確的做法是什么呢?

互聯云的問題

監管機構已經認為，最大的云提供商在預防、緩解甚至標記嚴重威脅方面做得還遠遠不夠。鑒于太陽風公司(SolarWinds)等備受矚目的違規事件層出不窮，這一點很難爭辯。這些監管機構還堅持認為，這些供應商有資源來應用補丁和其他修復程序;并非每個依賴云計算的公司都擁有相同的資源。

這就是為什么有這么多關于世界末日的討論:一個云的故障可能會導致整個基礎設施的崩潰，這些基礎設施支撐著現代生活的各個方面，從關鍵的醫療保健和國家安全到電子游戲等。這就是為什么拜登政府發起了可能是迄今為止最雄心勃勃的努力，迫使最大的巨頭——想想谷歌、微軟、亞馬遜和甲骨文——更好地保護私人和公共部門廣泛組織使用的服務器。

雖然還有其他法規懸而未決，但政府已經重新推動了上屆政府的一項行政命令，該命令要求云提供商和經銷商采取并執行嚴格的措施來驗證每個客戶的身份。

平衡增長與安全

明確的目標是防止外國黑客在美國服務器上租用空間，并從這個有利位置造成破壞。在發生犯罪活動的情況下，更好的記錄將使識別和起訴犯罪方更加容易。當然，為了建立更好的保障措施，政府也承諾不會阻礙快速增長。

這里最大的問題可能是云使用和云安全仍然相距甚遠。例如，許多供應商的商業模式要求收取附加費以獲得更強的保護。此外，政府沒有專門為這一職能指定的機構或資源。因此，即使是最具戰略性的措施，也不得不依賴于一系列不斷演變的政策、積極的執法和技術建議，比如針對特定行業的建議。

重新思考基本原理

再一次，值得贊揚的是:政府對云基礎設施安全的關注確實值得贊揚。然而，指望政府提供所有的答案絕不是一個好主意。那么，我們錯過了什么?如何才能找到更現實的方法?

我相信我們可以從重新思考基本原理開始。例如，許多這些善意的指令本質上將技術本身視為最終目的——其目標基本上是保護服務器群。與此同時，真正重要的是數據。

關注日期而不是硬件會帶來心態的改變。政府有理由擔心多米諾骨牌效應——一臺服務器崩潰會導致系統故障——也有理由加大對云計算提供商的壓力，要求他們提高環境的安全性。這是至關重要的，但也嚴重不足。

從個人角度來說，云遷移就是把你的數據放到別人的電腦上。但這仍然是你的數據和你的責任。而且不只是你的貴重物品在那里——云可以存儲無窮無盡的數據，這使得它比你的小電腦更容易吸引黑客。通過這一切，提供商的客戶對云提供商的安全協議，或者其他客戶如何受到攻擊，或者正在使用哪些軟件包和物聯網設備以及引入漏洞等幾乎沒有可視性。

與云共護共榮

總結:對于大多數組織來說，云計算仍然具有完美的商業意義。特別是對于政府機構來說，這是擺脫傳統基礎設施(許多機構顯然擁有傳統基礎設施)并從技術進步中受益的完美方式，而無需進行大量投資。然而，所有將數字資產轉移到云端的組織都必須繼續分擔保護自己數據的責任。將義務完全交給云提供商——這就是完全依賴的含義——是短視和不明智的。

當然，企業為自己做的事情要多得多。最重要的是，有一些選項可用于部署具有高級別隔離的專用云租戶。這意味著沒有共享的網絡資源，沒有共享的秘密，并且增強了與客戶特定安排相匹配的安全性。再深入一點，用戶自己的技術可以確保高級加密，將特定數據元素分類為需要及時保留或處理的記錄，甚至標記和隔離包含PII或其他敏感信息的數據。即使在最低級別，這也是最高質量的保護，采用數據隱私指南，最佳實踐等。

再一次，云安全是政府關注的一個領域，并有理由提出全面的法規。各種規模的云提供商都可以而且應該采取更多措施來保護客戶的資產。但是有很多責任要承擔——隨著現在技術和服務的可用性，遷移到云的組織將從更好地控制自己的安全中受益。