云计算一道坎：如何保证云数据安全

　　截至目前，云安全联盟已经不止一次地发布报告，建议和督促企业采取措施，以更好地保护云服务。

　　云安全联盟新的报告中对云计算的定义和国际标准与技术协会(NIST)的定义一致，其它的还按需自我服务、宽带网络接入、资源共享、快速配置和可扩展性、计量使用等。

　　NIST还将云服务分成了三类：软件服务(SaaS)，即应用程序由服务供应商提供;平台服务，即服务商提供工具和编程语言，客户来开发和部署自己的应用;基础设施服务，即服务商提供带网络的硬件平台供客户使用。

　　“在云计算V2.1版本的指导意见中安全是需要注重的关键领域。”在早期的一些草案审议议题简缩版本就提及了云安全的重要性，这些安全议题分布在13个领域的76页文件中，每个议题还包括了更加具体的建议。

　　文件建议云服务商采用ISO/IEC 27001信息安全标准来构建信息安全管理系统。客户应该认真核实供应商的资质认证，同时还要看他们制定的计划是否按照认证标准和要求来做的。至少，供应商应该向客户展示他们的做法是参照ISO 27002国际标准来制定的。

　　报告指出，客户需要清楚地认识到，在他们所购买的云服务类型中，他们需要为数据的安全和应用程序的管理承担怎样的责任，服务商又承担怎样的责任。

　　例如，亚马逊的EC2基础设施作为一个服务实体的地址，提供的是环境和虚拟化的安全，而不是虚拟的情况下操作系统、应用程序和数据本身的安全。通过Salesforce.com的客户关系管理软件(CRM)提供的云服务，服务商就必须负责一切的安全，包括应用程序和数据。

　　企业一定要充分了解供应商的安全措施，否则就要冒着危及他们数据安全的风险。“除非云提供商乐意向客户披露他们的安全控制，以及它们所实施的范围和程度，消费者才会知道哪些控制对于保持其信息安全是必须的，否则就会导致客户做出错误的决定，并存在很大的风险。”报告说。

　　报告指出，一般来说，云服务的潜在用户需要针对数据的重要性以及业务安全做风险评估，并让供应商提供相关的证明。“对于任何涉及安全的方面，企业应采取以规避风险为主的方式转移到云计算环境，并选择安全的方式。”报告说。

　　为此，报告建议采取以下步骤：

　　1、仔细考虑和确定什么样的数据或功能运行在云环境中;

　　2、评估该数据或功能对企业的重要性;

　　3、确定采取哪种云：公有云，私有云，社区，混合云;

　　4、评估现有的控制措施对风险的减少程度;

　　5、画出进出“云”的数据流图，以确定风险的暴露点。