云安全：恐惧神马的都是浮云

　　ZDNET至顶网安全频道 4月22日 编译：预计未来12个月中，将有越来越多的企业采用云技术，其中涉及到的包括架构即服务(IaaS)，平台即服务(PaaS)，软件即服务(SaaS)以及私有云。

　　然而，在云计算安全性方面，大家头上都悬着个问号。云计算那种将企业数据存放在企业防火墙外的数据中心，并通过互联网进行访问的概念，确实让很多企业都觉得不靠谱。

　　虽然对于任何企业技术项目来说，安全性都是需要考虑的，但由于在云技术中，数据的移动，存储和访问都与以往有所不同， 因此它的安全性问题就显得比别的技术项目更重要了。

　　企业应该对云计算安全性担忧吗?

　　与传统技术项目相比，云计算确实引出了一系列新的安全问题，但是从专家角度看，云计算实际上要比传统技术项目更具安全性。

　　Ovum 首席分析师Graham Titterington认为，云计算供应商对于数据安全的重视程度远高于普通企业的内网安全管理人员。

　　Titterington 说：“大多数企业内部安全技术人员都无法像云服务供应商那样提供优质的安全服务，云服务供应商不但具有专业的安全水平，而且具有一定的信誉，这在行业中非常重要。因此一旦某个服务商出现了安全问题，那么该服务商的业务将遭受毁灭性的打击，尤其是目前这种大部分企业都在观望的时期。”

　　他又补充说：“对于目前大约95%的企业来说，采用云服务所实现的安全性要比他们自己在企业内部搞的安全系统更加可靠。黑客们入侵企业内部服务器的难度要远低于入侵云服务环境中的服务器。”

　　Quocirca 公司经理 Bob Tarzey表示，在企业防火墙内部建立一个私有云架构，并不会带来什么额外的安全隐患，而仅有的安全问题可能是关于虚拟机的，但这方面的问题大部分早就已经得到解决了。

　　Tarzey同意 Titterington 的观点，他也认为专业的云服务提供商所实现的安全性要高于普通企业自己的安全系统，他说：“企业很容易忽略的一个问题就是，云服务供应商所使用的架构是最先进的，位于高级的数据中心，这远比企业在自己的内部网络搭建的安全系统要安全的多，更能满足企业对业务连续性的需求。”

　　Field Fisher Waterhouse 律师事务所的总经理 Eduardo Ustaran 同样认为云计算所涉及的数据安全问题不会比将企业IT服务外包出去所面临的安全风险更大。

　　由于云计算是将数据备份在不同的位置，因此会比传统方式有更大的安全性。

　　Ustaran 表示，从客户的角度看，这样会感觉更容易失去对数据的控制，他说：“面对潜在客户，云服务供应商必须非常小心面对这一问题，让客户明白供应商所提供的安全性远非他们之前所想象的那样。”

　　虽然云服务供应商能够实现高等级的安全性，但是企业在向云服务迈进之前，仍然需要注意一些问题，从而尽可能安全的实现云计算。

　　数据的移动

　　传统的企业内部计算与云计算的不同之处在于，后者需要通过互联网将数据在云供应商和客户间进行传送，而一些企业认为这个过程有可能出现安全隐患。

　　实际上，如今的网络技术已经能够让企业在互联网上传输数据时确保数据安全，不被恶意份子监控和截获了。

　　Ustaran 在回答silicon.com 记者采访时表示：“如今的网络已经越来越安全了，与以往开放式的网络相比，现在通过网络传送数据的安全性很高。”

　　Ovum公司的Titterington 补充说：“ SSL- 和 VPN-类型的技术可以很好的在公众网络上进行数据安全传输。”

　　对数据进行加密，是数据在客户和服务供应商之间传递时提升安全性的另一种方法。这意味着数据无论是在企业内部还是在向云服务环境移动过程中，或者存储在云服务环境，都是安全的。

　　云架构的物理位置

　　数据的物理移动和存储也是有严格的法律要求的，因此在讨论云计算时，这一点不能忽略。

　　比如，在欧洲，个人数据只能被出口转移到其它欧盟国家，比如签署有安全港协议的美国。

　　如果云服务供应商将企业的数据备份在两台位于不同位置(一般不是在美国，或者在不同的国家)的服务器上，企业可能就会担心数据最终是否会丢失。

　　这种担忧虽然不无道理，但是可以通过与服务供应商的谈判得到解决。

　　Field Fisher Waterhouse 的Ustaran 表示：“不论数据存在世界哪个角落，只要具备良好的安全性，地理位置就不应该成为什么问题。”

　　Titterington认为，企业应该确定他们的数据被保存在无安全港协议地区的可能性。他说：“企业能否从供应商那里得到所需的保证?供应商是否拥有类似的安全港协议，或者正在与那些地区签署类似协议?”

　　一旦企业很高兴的看到供应商能够提供相应材料，他们就会很乐意的签署相关的云服务协议，因为他们知道自己的数据在迁移时能得到保证。

　　Titterington 认为，如果数据在传输和存储过程中都经过加密，那么就不用担心其存储在第三方数据中心的安全性问题了。如果除了企业自己，其它机构和个人都无法解读数据内容，那么数据移动也就没有太多的安全性要求了。

　　运供应商知道企业担忧数据存储的地理位置问题，以及相应数据的安全新问题，因此在主要市场通过更多的开设云数据中心的方式来解除企业顾虑。

　　确保存储在云环境的信息安全

　　一旦数据到达了云平台的存储位置，就开始进行下一步数据安全措施了。Titterington说：“一般来说，实际的传输阶段是担忧最少的阶段，这时用户所关注的是数据到达后会被如何存储。”

　　Titterington 认为，对于云技术来说，访问控制技术的运用是至关重要的，他说：“访问控制必须被重视。云服务的大门永远是面向互联网的，不论采用的是软件即服务(SaaS)，平台即服务(PaaS)还是架构即服务(IaaS)模式。在开放环境和企业数据之间只有访问控制机制在起作用。”

　　Ovum 建议机构将访问控制集成进他们自己的云服务中，这样内部和外部的身份认证和登录系统将同步进行，减小了出现安全风险的机会。

　　企业同样需要确保他们能够得到最新的数据访问记录。这个策略意味着，一旦用户离开办公环境，他们的接入权限马上会被收回，这样他们就不能从办公地点以外的非授权系统访问云服务。

　　和数据传输过程一样，数据存储时同样需要进行数据加密，以提高信息的安全性。

　　Ovum的 Titterington 表示，有些加密技术允许企业将数据加密所使用的密钥保留在云环境中，这样，只有具有完全控制权限的人才能够在虚拟机中查看解密的信息。

　　Titterington 说：“目前已经有针对云环境的数据加密技术了，企业都应该考虑使用。”

　　企业所考虑的另一个有关云环境下数据存储的问题是，有可能与自己的数据存储在相近空间，或者存储在紧邻的虚拟机中的，就是竞争对手的数据。

　　而分析人士表示，数据混杂存储甚至被错误的用户访问的情况基本不会发生。

　　Field Fisher Waterhouse的 Ustaran表示：“我还从没见过那个服务提供商会将不同客户的数据混杂在一起，并被错误的客户访问。”

　　Titterington 也补充说：“对于绝大多数机构来说，他们建立云架构时使用的技术和架构就是用来防止出现数据交叉感染的。”

　　符合监管的云

　　在考虑采用云服务时，企业首先要考虑的是自己的哪个业务流最适合采用云服务，并牢记符合监管部门的规章制度，如Sarbanes-Oxley法案。比如，财务信息一般被看做不适用于云计算，因为与其它方面的信息来说，有太多的监管制度围绕着财务信息。

　　Titterington认为，云服务供应商正好趁这个机会更详细的介绍他们的安全方案，因为客户提供的其它信息并没有那么严格的监管要求。

　　他说：“对于那些需要非常详细而严格审批报表的企业，供应商是很难拿出有关云服务的正规的符合审查要求的文书的。因此，作为云服务供应商，你对于这类企业的吸引力是很有限的。”

　　Quocirca的 Longbottom 表示，企业都需要根据规章和监管要求对自己的数据进行分类。数据的类型可以包括公开，商业，保密，以及机密。

　　之后就可以针对不同的信息制定策略了，比如哪类数据可以分布存放，是否可以被打印出来。在云计算方面，企业需要云服务提供商能够支持这种数据分类方式和对应的策略。

　　Longbottom 说：“由于不受网络，平台或设备的限制，这种数据分类方法可以很好的适应云计算环境。”

　　Field Fisher Waterhouse的 Ustaran 认为，云服务供应商可以选择将欧洲数据保护条例作为他们的服务标准提供给客户，这样客户在与供应商洽谈前就知道他们的数据将会符合监管要求。

　　他补充说，企业和供应商需要找到一个既能满足数据安全和监管要求，又能实现足够的灵活性的平衡点。供应商将根据这个平衡点提供相应的服务。

　　Ustaran 表示：“合同应该注重现实，而不是设立过多的法律条款，这样供应商将受到太多限制而无法为用户提供所需的服务。”

　　从云中取回数据

　　企业面对云计算时需要考虑的最后一方面内容是，如果以后决定更换云服务供应商，那么该如何从前一个供应商那里把自己的数据取回来。

　　Quocirca的 Tarzey 认为，企业要考虑的关于云计算的几件大事之一，就是企业数据在未来的情况。

　　企业应该考虑他们如何将数据从云架构中取回，并确保所有数据备份都从供应商的服务器中删除了。

　　Titterington 表示：“如果你不能简单方便的将你的数据取回来，那么你就算是跟这个服务商绑定在一起了，不论他怎么样你都离不开了。这是任何企业都不愿意见到的。”

　　因此企业在选择云服务供应商时一定要将这个问题提出来，他说：“提出所有恰当的问题，并将所有的服务承诺列在合同中。”