当涉及到安全问题时,云计算仍然任重而道远,还有相当多的工作需要改善。尽管很多云服务供应商声称他们可以确保客户的数据安全,随着越来越多的采取相关技术,安全问题日渐浮出水面。
“越来越多的企业正在积极推进采用云计算信息和服务的步伐。但相当多的人都丝毫关于没有一旦他们脱离了现有的数据中心环境,存在什么样的风险的知识。”加利福尼亚州圣何塞的一家技术咨询公司Wired Integrations的总裁兼共同创始人马克·吉尔摩说。
另一类漏洞涉及到数据存储和访问故障,沙克尔福德说。云计算供应商都会利用大型共享存储环境,如存储区域网络或网络附加存储,他说。
“有许多配置问题,可能会导致非法存储访问,但最新的VMware虚拟磁盘研究表明,攻击者可能会创建一个虚拟机与一个特制的虚拟磁盘文件的访问权限授予其他部分的存储环境,”沙克尔福德说。云环境面临新的威胁的其他例子包括在云计算和云服务提供商无意中托管恶意僵尸网络控制器系统的拒绝服务攻击,他说。
第二类,恶意内容,以病毒和恶意软件的形式出现。“公共云的网站,如谷歌、亚马逊和Facebook都是这种恶意代码的温床,任何采用这些作为工作工具的企业都是危险的。”吉尔莫说。“我认为,在这整个设计中,最大的缺陷是缺乏最终用户管理云资源的控制权。”
另一件在评估云安全时需要考虑到的事实是,许多服务提供商仍然还是刚刚进入云市场,很多进入企业云计算市场的新建立的公司、甚至某些老企业以前并没有相关的IT、数据管理或安全经验。”一家伊利诺伊州绍姆堡的IT服务供应商Prescient Solutions的首席信息官杰里·欧文说。
“这样一来,没有到少云计算知识背景的用户和许多中小型企业寻找购买简单的云服务商品,就只会比较系统的定价和一些华而不实的功能,而不是云计算的安全性、容错性和完整性等必要功能。”欧文说。
更好的部署云安全的提示清单
1、了解自己的和你的云提供商的基础设施。您对于您的供应商的设置了解得越少,您就越容易陷入被动。
2、询问您的安全和法律团队审查与您的云服务供应商所签订的合同。确认其对于安全保证具有法律约束力。
3、研究你供应商的服务水平协议。确保您可以监控您的应用程序,同时在发生安全漏洞的事件时服务供应商会第一时间通知你。
4、在订立合同时,咨询供应商的相关雇用政策和雇员监察的做法,因为内部人员的恶意攻击往往就意味着安全风险。
5、研究安全控制方案,并确保云提供商在恰当的地方进行有效控制。另外,了解供应商如何处理违规行为。
6、要知道您的企业对于系统的保密性和完整性负有最终责任。如果可能的话,在供应商的帮助下定期进行基于云系统的渗透测试,识别漏洞。
7、部署自己的安全工具,如复杂的密码,数据加密和数据访问管理软件,集成云基础设施。
