保护云计算安全的三个必备步骤

来源：赛迪网　作者：王月宝　责任编辑：admin　发表时间:2011-02-20 09:14　

核心提示：你完全可以闭上眼睛，假装云计算并没有出现在面前——许多CIO就是这么做的，不过我们还得面对这个事实：“云计算与我们同在。每个人很快就会用它。”

你完全可以闭上眼睛，假装云计算并没有出现在面前——许多CIO就是这么做的，不过我们还得面对这个事实：“云计算与我们同在。每个人很快就会用它。”

至少这是Jim Haskin及其他业内人士的预言，Jim Haskin是总部设在圣迭戈的数据安全提供商Websense公司的CIO。

这是让人害怕的想法吗？对许多CIO来说，确实如此。Kirill Sheynkman是总部设在旧金山的Elastra公司的CEO，该公司开发目前与亚马逊的云计算服务部署在一起的应用软件。他说：“人们一提到云计算，就感到恐慌。”那么，这种恐慌有根有据吗？就因为越过防火墙带来的那些安全问题？

Sheynkman不以为然。他说：“安全不是什么问题。你觉得贵公司的IT部门比亚马逊还要了解数据安全吗？”

还是面对现实吧：“云计算环境中的数据安全与远程数据中心中的数据安全没什么不同，” 芝加哥的IT咨询公司Compass的高级顾问John Lytle如是说。

在许多情况下，大多数公司的数据“在自己的环境下比在精心管理的云计算环境下还要来得岌岌可危，”Cloudworks公司的CEO Mike Eaton说，总部设在加州千橡市的这家公司提供基于云计算的服务，主要面向中小企业。

有能力控制吗？

几大云计算服务商：亚马逊、谷歌和Sun对确保网上安全非常在行;有鉴于此，有些人担心外面的人攻破安全这道墙、对自己的数据为所欲为，这确实似乎没有必要。Sheynkman说：“人们担心过头了。”

Haskin进一步叙述：“云计算环境中的数据安全应该不是问题。”我们需要询问其他问题，以便弄清楚为什么我们害怕云计算、为什么CIO这个群体对云计算采取抵制态度。不过CIO们也许应当打消这种心态，因为剩下的时间不多了。

总部设在加州芒廷维尤的Dreamfactory公司开发基于云计算的应用，这家公司的首席技术官Bill Appleton敲响了警钟：“云计算可能会跳过IT部门这个环节，直接向最终用户促销。它可能完全跳过IT部门的指挥和控制系统。”

而这也许是应当要担心的问题。这是因为，CIO的噩梦主要针对员工未经授权就擅自使用公共云计算资源，他们可能会把公司内部的敏感数据放在网上的电子表格或者幻灯片里面。

全球IT基础设施提供商Terremark Worldwide公司负责安全服务的高级副总裁Christopher Day说：“大多数CIO主要担心员工把不应该公之于众的数据放在公共地方。”这种担心不无道理。如果董事会发现自己公司的战略方案居然放在公共云计算环境、谁都可以看到，会有怎样的表态呢？但Day也表示，CIO们只要采取一种直接的方法，就能排除这个重大的安全隐患。

Day说：“只要把明确的政策落实到位，然后向员工传达这些政策。”

应当正视现实，迎面着手解决这个问题。这就是消除这个风险的办法。还要明白上传敏感数据的员工通常出于好意。他们只是在寻找更有效的工作方式。Day补充说，所以也要关注其他更安全的方式，以便满足员工的正当要求。如果采取了这两个步骤，贵公司里面云计算导致的影子IT(shadow IT)极可能会销声匿迹。

保护登录安全

云计算方面另一个久久挥之不去的阴影就是，许多提供商的登录机制太原始、太简单了。开发数据安全工具的芝加哥Aladdin公司的总经理John Gunn断然预测：“除非安全得到大幅增强，否则大企业不会积极采用云计算。”这里担心的问题是，如果使用功能基本的登录机制，传统的社会工程手法就可以让黑客明白员工的登录信息，结果数据泄漏事件难免会随之而来。

不过Gunn表示，解决办法很简单：企业应当只允许数据迁移到使用双因子强验证技术的云计算环境。在这种环境下，黑客恐怕就无法近身。Gunn认为，只要采取了这个步骤，大公司反对云计算的阻力基本上就会马上烟消云散。大多数主流的云计算服务提供商在这个问题上踌躇不前，不过Gunn表示，如果有足够多的用户呼吁要求采取防范措施，云计算服务提供商会积极响应。

现在该怎么办？

跨国安全公司趋势科技的首席技术官Raimund Genes说，最后一大问题是，特别是在如今经济不稳定的形势下，云计算服务提供商有多久的生命力？“你需要至少三年内不会破产或失败的提供商。如果你把自己的IT基础设施交给对方，就需要靠得住的服务服务器。”如果云计算服务提供商破产，如何可以访问你的信息？谁可以访问？最好选择一家有雄厚资金、有能力参与长期竞争的云计算服务提供商，那样根本用不着为这类问题而操心。

Elastra公司的Sheynkman为仍在为云计算环境里面的数据而苦恼的CIO们提出了最后一条忠告，他提醒我们：“这不是什么极端的问题;没必要这样。单单把你觉得没什么问题的数据放在云计算环境上。大多数公司似乎正在这么做。我们仍处在试验、摸索的阶段。”

在这个初期阶段，迈的步子要小些，但应当开始迈出几步，这才是积极接受云计算的明智方式。

(责任编辑：admin)

“扫一扫”关注融合网微信号

免责声明：我方仅为合法的第三方企业注册用户所发布的内容提供存储空间，融合网不对其发布的内容提供任何形式的保证：不保证内容满足您的要求，不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网，融合网不承担任何法律责任。

第三方企业注册用户在融合网发布的内容（包含但不限于融合网目前各产品功能里的内容）仅表明其第三方企业注册用户的立场和观点，并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息，并不代表本网站的观点和立场，更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点，与本网站立场无关，不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断，自行决定并承担相应风险。

根据相关协议内容，第三方企业注册用户已知悉自身作为内容的发布者，需自行对所发表内容（如，字体、图片、文章内容等）负责，因所发表内容（如，字体、图片、文章内容等）等所引发的一切纠纷均由该内容的发布者（即，第三方企业注册用户）承担全部法律及连带责任。融合网不承担任何法律及连带责任。

第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容（如，字体、图片、文章内容等），经相关版权方、权利方等提供初步证据，融合网有权先行予以删除，并保留移交司法机关查处的权利。参照相应司法机关的查处结果，融合网对于第三方企业用户所发布内容的处置具有最终决定权。

个人或单位如认为第三方企业注册用户在融合网上发布的内容（如，字体、图片、文章内容等）存在侵犯自身合法权益的，应准备好具有法律效应的证明材料，及时与融合网取得联系，以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

融合网联系方式：（一）、电话：（010）57722280；（二）、电子邮箱：2029555353@qq.com dwrh@dwrh.net

对免责声明的解释、修改及更新权均属于融合网所有。