市場研究公司Forrester Research最新發(fā)表的題為《你的云計(jì)算有多安全?》的研究報(bào)告稱,云計(jì)算的安全漏洞需要比傳統(tǒng)的IT外包模式進(jìn)行更嚴(yán)格的審查。多租戶(Multi-tenancy)和缺少可見性等問題令人擔(dān)憂。
Forrester分析師Chenxi Wang在這篇報(bào)告中稱,采用傳統(tǒng)的外包模式,客戶把自己的服務(wù)器放在其他人的數(shù)據(jù)中心,或者由服務(wù)提供商管理專門供那個(gè)客戶使用的服務(wù)器。但是,多租戶目前在云計(jì)算中占統(tǒng)治地位,客戶也許不知道自己的數(shù)據(jù)存儲(chǔ)在什么地方,或者這個(gè)數(shù)據(jù)是如何復(fù)制的。
Wang在報(bào)告中寫道,云計(jì)算分離了數(shù)據(jù)與基礎(chǔ)設(shè)施的關(guān)系,掩蓋了低水平操作的細(xì)節(jié),如你的數(shù)據(jù)在哪里和你的數(shù)據(jù)是如何復(fù)制的。多租戶在傳統(tǒng)的IT外部中是很少使用的,但是,在云計(jì)算中幾乎是必須使用的。這些區(qū)別引起了許多安全和隱私的問題,不僅影響到你的風(fēng)險(xiǎn)管理做法,而且還影響到在遵守法規(guī)、審計(jì)和電子證據(jù)等方面的法律問題評(píng)估。
軟件服務(wù)(SaaS)以及制作應(yīng)用程序的基于Web的平臺(tái)、托管服務(wù)器或者存儲(chǔ)容量等技術(shù)的興起讓許多業(yè)內(nèi)觀察人士評(píng)估云計(jì)算的好處和缺點(diǎn)。
Wang指出,美國電子隱私信息中心最近向美國聯(lián)邦貿(mào)易委員會(huì)投訴了谷歌,指控谷歌的安全和隱私控制是不充分的。
Wang引述波音公司首席安全設(shè)計(jì)師Steve Whitlock的話說,同許多其它公司一樣,我們看到了向云計(jì)算過渡的巨大潛力和好處。但是,我們也看到了風(fēng)險(xiǎn)、安全問題和兼容性問題。要使云計(jì)算成為一個(gè)協(xié)作的安全地方,這個(gè)社區(qū)還有許多工作要做。Wang說,雖然由于缺少可見性和控制,保證應(yīng)用程序和數(shù)據(jù)在云計(jì)算中的安全是很困難的,但是,用戶必須要努力評(píng)估廠商的安全和隱私做法。
Wang在報(bào)告中寫道,企業(yè)必須考慮這些方面的問題:數(shù)據(jù)保護(hù)、身份管理、安全漏洞管理、物理和個(gè)人安全、應(yīng)用程序安全、事件響應(yīng)和隱私措施。例如,用戶應(yīng)該要求了解廠商的加密系統(tǒng)、廠商如何保護(hù)靜止的和移動(dòng)的數(shù)據(jù)的安全、廠商提供給審計(jì)者的說明文件、身份識(shí)別和接入控制程序、廠商是否有適當(dāng)?shù)臄?shù)據(jù)隔離和數(shù)據(jù)泄漏保護(hù)措施。
Wang在報(bào)告中寫道,還有許多要解決的問題,不僅是云計(jì)算的安全問題,而且還有可靠性問題。要避免這些缺陷,客戶需要一個(gè)服務(wù)級(jí)協(xié)議,具體規(guī)定一些詳細(xì)的責(zé)任條款和承擔(dān)的后果。事實(shí)是法律對(duì)待云計(jì)算中的數(shù)據(jù)域?qū)ΥF(xiàn)場的數(shù)據(jù)是不同的。這使有關(guān)責(zé)任的談判更加復(fù)雜。
