分析报告：云端运算风险到底有多大？

　　云运算(cloud computing)标榜的卖点是不需什么维护，成本也很低。但问题是，企业会让自己的数据暴露于风险之中吗?

　　欧洲网络与信息安全机构(ENISA)20日公布的最新报告显示，云端运算有利也有弊。这份123页厚的报告标题为《云端运算：利益、风险与信息安全建议》，建议企业若是把数据交给云端服务业者托管时，该如何做才能把风险降到最低。

　　ENISA指出，云端运算的好处很明显，就是内容和服务随时都可存取，而企业也可降低成本，因为不必再花冤枉钱管理超过需求的数据中心容量，而是可视需求调整用量，并依照实际用量付费。不必维护某些硬件或软件，也可释出内部的IT资源。

　　但这份报告的编辑Giles Hogben指出，企业仍对云端运算望而却步，首要的问题是安全性。企业质疑，能够把企业的数据、甚至整个商业架构，交给云端运算服务供货商吗?云端运算虽号称一周七天、24小时全天候提供服务，但业者的数据中心也可能因故障停摆。而且，这将导致他们依赖单单一家服务供货商，万一数据与服务必须移交给另一家服务供货商，可能遭遇问题。

　　再者，把数据搬上云端，企业可能面临主管当局稽核方面的挑战。有些云端服务业者还可能未确实依照顾客的吩咐，地把数据完全、妥善地删除干净。

　　ENISA建议，企业必须做风险评估，比较把数据存在云端、以及存在内部数据中心的潜在风险。并比较各家云端供应者，把选择缩减到几家，并取得优选者的服务水平保证。接下来，应该明白指定哪些服务和任务由公司内部的IT人员负责、哪些交由云端业者负责。

　　报告指出，如果选对供货商，资料存在云端可以是安全无虞的，甚至比内部的安全维护更固若金汤、更有弹性、也更能快速执行。例如，业者可立即征召额外的防御资源，像是过滤(filtering)和绕道(re-routing)，也可更有效率地部署新的安全更新，并维持更广泛的安全诊断。