Gartner研究副總裁Jay Heiser表示,實(shí)現高水平云計算安全仍然需要經(jīng)歷長(cháng)期而艱難的努力。他表示,在云計算安全得到改善之前,擁有敏感數據的企業(yè)和政府組織可能會(huì )從云服務(wù)中撤離。
Heiser表示:“與小企業(yè)相比,金融機構對云計算更加保守。”另外,他認為,使用基礎設施即服務(wù)要比軟件即服務(wù)更容易建立安全基線(xiàn),因為有更多靈活性,更少依賴(lài)于服務(wù)供應商。但總體而言,云服務(wù)供應商對于其業(yè)務(wù)連續性和災難恢復做法并不是很明確,這使他們很難贏(yíng)得客戶(hù)的信任。
Gartner的客戶(hù)對于云計算合同的不完整性普遍感到失望,他們并沒(méi)有在合同中看到他們期望的與安全相關(guān)的條例。
界定云計算和客戶(hù)之間的技術(shù)和法律義務(wù)很困難,不僅美國聯(lián)邦政府在其FedRAMP計劃(尋找為政府提供服務(wù)的云服務(wù)供應商)提到了這個(gè)問(wèn)題,云安全聯(lián)盟(CSA)也在關(guān)注這個(gè)問(wèn)題,他們建立了幾個(gè)工作組來(lái)定義行業(yè)標準。
雖然很多組織都在努力改善云計算安全,并且所有這些云計算安全努力也是值得的,但這些標準都需要一年到五年時(shí)間才能成熟。
在此期間,企業(yè)和政府明確其需求,并盡可能地評估潛在的云服務(wù)及其安全選項。首先應該檢查進(jìn)入其云服務(wù)的數據的機密性。
目前云計算領(lǐng)域最成熟且可用的安全控制都涉及身份和訪(fǎng)問(wèn)管理機制以及基于服務(wù)器的加密,但云服務(wù)客戶(hù)應該詢(xún)問(wèn)供應商,加密密鑰是如何管理和存儲的,并確定這種風(fēng)險是否可接受。取證調查目前還不可行,并且,從整體安全控制來(lái)看,可能需要5到10年才能看到針對云計算的“強大的技術(shù)”。
云計算的經(jīng)濟吸引力很強大,有時(shí)候經(jīng)濟利益似乎大約潛在風(fēng)險。Gartner建議客戶(hù)考慮將低敏感度數據放到云服務(wù)中,而對于“中等”敏感度的數據,企業(yè)必須進(jìn)行風(fēng)險評估。對于高敏感度數據,則不應該考慮放到云服務(wù)中。
云服務(wù)供應商很少提供針對攻擊的任何賠償。并且,考慮到云供應商可能會(huì )離開(kāi)云計算領(lǐng)域,客戶(hù)需要確保該供應商可以歸還數據或者有一個(gè)備份應急計劃。Heiser指出,當兩年前Mumboe SaaS關(guān)閉時(shí),他們給客戶(hù)兩個(gè)星期時(shí)間來(lái)取回數據。這給客戶(hù)敲響了警鐘,即云服務(wù)可能會(huì )突然“消失”,客戶(hù)應該對這種情況做好準備。
即使是一些家喻戶(hù)曉的云服務(wù)供應商(亞馬遜、谷歌和微軟等),也可能出現數據消失的情況,至少在一段時(shí)間內消失,或者永久消失。Heiser稱(chēng):“恢復并不是簡(jiǎn)單的過(guò)程,將服務(wù)損失和可用性放在你的列表首位。”此外,他還指出,實(shí)時(shí)服務(wù)升級可能導致廣泛的數據損壞。
IT管理人員習慣地認為,對于應用程序、服務(wù)、服務(wù)器、存儲和網(wǎng)絡(luò ),他們對自己能做什么擁有控制權,但他們需要充分認識到,根據云計算的性質(zhì)來(lái)看,這種習慣的靈活性在云計算中并不存在。
