每朵"云"下都危机四伏

ZDNet安全频道原创翻译 转载请注明作者以及出处

　　笔者认为，在企业将集群计算迁移到云计算的过程中，大家低估了其中涉及到的风险。

　　在IT领域，云技术正逐渐占据主导地位。问题的关键在于，一些人似乎认为这是希望中看到的一点困难，而不仅仅是雷声大雨点小。

　　软件服务化(SaaS)的发展趋势加上“免费”网络IT资源应用的增长导致在硬件、软件和IT人员待遇方面的投资呈现下降的趋势。当然，更和谐的说法是，软件服务化在成本效益方面的效果比正版软件更具有优势。

　　在很多方面看来选择使用云计算的理由都是正确的。但是，和IT业的所有其它领域一样，在这里一样存在安全和隐私问题。实际上，无论你选择的是软件服务化，还是在自己的内部服务器上实现网络服务，云计算都不会让这些问题自动消失。

　　恶劣的信息环境

　　实际上，　它们是如此的重要以至于可以完结整个过程。存储在软件服务化伙伴服务器中的数据可能暴露在恶劣的信息环境下，数据的安全性会受到了影响。

　　即使数据被删除了，你还需要对按照数据保护法要求保存的个人信息，符合支付卡行业标准的信用卡交易数据和公司信息负责。

　　具体而言，与需要耗费大量时间进行项目管理以确保控制有效性的传统软件相比，云计算项目并没有什么不同。

　　但这并不是削弱了其本来的优势。当你选择软件服务化技术的时间，在执行和常规系统相关支持方面的投资无疑是可以避免的。在资本和运营开支方面，也可以节省大量费用。

　　此外，当你选择使用在线托管应用的时间，可以让工作团队摆脱成本高昂耗时在团队内部的IT部分。但是，软件服务化在通过规模效应带来好处的同时，也让安全问题更加引起了关注。

　　与其它商业类IT业务技术一样，以云为基础的服务需要在设备兼容性、数据安全性和信息管理的有效性方面遵循技术要求。而信息安全管理实用规则ISO27001的规定，让这一问题得到了有效解决，严格的开发周期规定，威胁分析和安全测试，所有这些办法让代码的安全性得到了保证。

　　当你选择使用软件服务化技术的时间，对云供应商的资格进行简单的核实是最基本的要求，了解其是否通过了ISO27001认证。询问供应商在应用控制方面的适用情况，了解其是否满足你所在的特定行业或者公司在法规方面的要求。

　　还需要核实的有：

　　1、供应商在安全设施方面采用了什么设备?

　　2、用于承载用户数据的设备是什么?

　　3、采用的是什么类型的防病毒工具，进行漏洞扫描和渗透测试运行的周期是多长?

　　4、系统备份的周期是多长以及系统恢复耗费的时间是多长?

　　5、采用了什么级别的加密技术来保护网站交易数据?怎么样符合有关数据隐私法规规定的保障要求?

　　6、在这个过程中，供应商对数据备份的管理是否到位?

　　7、在哪里以及怎样存储备份数据?以及如何对备份数据进行加密和解密操作?

　　通过业务连续性管理框架标准BS25999，你也可以了解到整个连续性是怎样安排到位的。服务水平协议可以用来进行检查，保证正常运行的时间。此外，还找出在设备故障和电源故障的情况下将会发生的问题?并且，还可以确认该系统是否是可扩展的?是否进行连续监测?

　　最后，众所周知在处理IT服务方面任何部分的时间都面临很大的挑战，就更不用说软件服务化这种新生事物了。但这也正是软件服务化的灵活性所在，让你拥有大量时间对应用程序进行配置和挑战，使其符合业务的需要。不要低估这一过程耗费的时间：迁移到云平台下面的过程需要一个项目团队的支持，还要制定明确的时间表，以及大量来自最终用户的支持。

　　接着就是对用户的影响：务必记住可能需要对内部程序进行调整，以满足正在部署的项目的要求。

　　总而言之，周详的规划和良好的实施方案可以在迁移到云平台的时间解决出现的问题。基于续费模式的计算技术可以提供不容易被忽视的好处，但也不要忽视相关的风险。