当资料在云里被攻破，谁收拾残局？

　　趋势科技一直在说服许多资料中心安全人员和基础设施即服务(IaaS)供应商了解云运算的成长态势。让我印象最深的是他们通常有一种感觉(错觉)，认为IaaS供应商会好好照料公共云的安全。

　　IaaS供应商在基础安全方面(物理安全防护，周边防火墙， 负载平衡，可能还有网络 IDS/IPS，等等)做的不错，并且在这个游戏里，他们得下一些本钱。虽然偶尔也有IaaS 卖家努力采用更高级别的安全策略使自己脱颖而出，然而许多卖家(即使不是大多数)还是更专注于提供有竞争力的价格和适应性所以IaaS的概念承诺的是与本地资料中心相关的安全。

　　虽然IaaS供应商努力营造一个安全的环境，防护的责任和义务却在于使用这项服务的企业。在这个方面，Amazon网络服务的Customer Agreement(客户条款)里写的很清楚：

　　7.2. 安全。我们努力保护您的内容，但是，鉴于网际网络的性质，无法保证我们一定能成功做到。因此，不限于上述条款4.3 和以下的11.5，您同意承担您的内容和应用软件的安全，保护和备份的全部责任。

　　你可以访问你最喜欢的IaaS供应商的网站，看看他们的服务或服务程度协定的条款，通常会看到他们承担的责任不会大于你可能用到的运算环境里的物理安全，人身安全和基本的周边安全。这很可能是因为许多IaaS供应商都在爱好诉讼的美国，这里的人们以喜欢控告别人着称(IDC的Frank Gens在最近的一次IDC线上讨论上提到在最近的一个开庭期内，75%的云运算服务市场都在美国)。IaaS供应商如果想继续留在这个行业里就必须明确限定他们的法律责任，这就意味着维护安全的重担落到了云运算客户身上(如，企业)，要他们来保证资料和应用软件的安全。

　　我和一位企业律师谈到过这个问题(请注意：我只是一个门外汉，这不是专业的法律建议，在做任何事的任何决定之前请谘询专业法律顾问)，他的意思是如果有人因为资料被攻破被起诉，那么原告要找的是最有钱的哪一方。我向一个律师求证试图找到最简练有力的印证来明晰这一点，却一无所获。不过试试google一下“律师告的是有钱的那一个”你就会明白我在说什么了。在云运算领域，最有钱的通常是IaaS客户而非IaaS供应商。

　　目前为止我们还没看到IaaS相关的资料攻破。出现过Denial of Service (DDoS)分散式拒绝服务和资料遗失，但没有出现过敏感资料的攻破。鉴于云运算相当有说服力的经济性和适应性，它将被引入应用软件，这些应用软件最终将包括敏感资料，因此敏感资料的攻破也只是一个时间问题。当因为资料攻破而惹祸上身时，找律师去敲企业的门，而不是IaaS资料中心的门。

　　企业依靠IaaS供应商安全或安全管理服务供应商(MSSPs)来卸下自己一方维护安全的责任，但如果出了错，资料的拥有者却是要对此负责任的人。

　　当在云运算里使用涉及安全资讯的应用软件时你怎样降低风险?当考虑在云运算使用这些应用程序时，给你的应用软件发展人员的“安全”答案可以是“是的，在公共云(IaaS)里使用，只要你采取了以下步骤……”，而不是条件反射的一个“不”。这些“是的步骤”涉及到在IaaS周边里面保护个人主机。这项保护包括基于主机的技术，即提供为IDP/IDS提供深度包检测和防火墙以及档完整性检查和log侦测(像OSSEC)的这些功能。现在让我高调的推广一下!试试我们新发布的Trend Micro Deep Security 7.0吧，它会解决许多云运算和合法规问题。

　　在事业初期，Dancer先生曾任英国瓦斯公司，WH Smith公司，对话与多媒体医学教育公司之资深管理职位。他并是WriteWorks的共同创办人，发展了一套叫做OfficeShopper的办公设备线上购物控制系统。(