引云小心威胁上了身 五个易忽视的云计算风险

缺乏对于安全风险的了解是阻碍云计算最重要的因素之一。

关于安全问题接二连三的报告成为了减缓云部署速度的最大障碍。随着企业从物理环境转向虚拟化和基于云的环境，安全威胁也就发生了变化，而这一点常常被人们忽视，即便是云倡导者也不例外。

病毒、恶意软件和网络钓鱼仍然值得关注，但是类似于虚拟机发起的攻击、多租户风险和管理程序缺陷将会是现在的安全管理员们所面临的主要挑战。下面列出五个容易被忽视但是可能危及你的云计算的威胁。

1、 DIY安全

通过遮遮掩掩而实现太平的日子已经过去了。在过去，如果你是一个匿名的中小型企业，你所担心的威胁也同样是典型的消费者所面临的威胁：病毒、网络钓鱼或者尼日利亚419诈骗等等。黑客们没有足够的能力渗透到你的网络中去，所以你不用担心类似于DDoS攻击——这些是只有服务器供应商才会遇到的问题。还记得一个老纽约画的漫画：“在互联网的世界里，没有人知道你是谁，哪怕你是条狗。”而在云中，没有会知道你是一家中小型企业。

“只是作一个小型网站不能再给予你任何保护，”IBM安全服务副总裁Marisa S. Viveros说。“威胁可能来自四面八方。在美国并不意味着你只会受到美国本土的威胁，任何人都有可能从任何地方对你进行攻击，比如中国、俄罗斯、索马里。”

从某种程度上来说，这只是某段时间的情况，但是当有针对性的攻击扩展到了全球范围，如果你与一个高知名度的企业共享同一个基础架构，你可能会不幸的成为攻击者们的登陆场，他们会利用你来袭击你边上阔绰的邻居。

换言之，下一次中国或者和罗斯黑客攻击一家主要的云供应商的时候，你很有可能会受到间接的损失。这一切都表明，DIY安全对此已经不再有效。另外，让一个超额工作的IT负责人来协调你的安全问题也会是一个可怕的想法。

随着越来越多的企业转向基于云的基础架构，只有拥有雄厚资金的大型企业才能够自己处理安全问题。任何其他人都必须开始开始思考安全作服务，这才可能是最终有效的出路。

2、私有云并非私有

具备高度安全警惕的企业在云中也会感觉不适，其中一个原因就是私有云的采用。对于部署私有云的企业来说，想要做到面面俱到似乎不太容易。他们在云中获得了成本和效率的回报，同时也避免了可能察觉到的公共云项目所所带来的风险。

不过，很多私有云并非都是称得上真正的私有。“许多‘私有’云基础架构事实上是由第三方进行托管的，所以这些架构是开放的，内部人员可以利用这一点从供应商那儿进行访问，所以缺乏安全和风险的透明度，”数据保护商CREDANT Technologies的产品市场负责人Geoff Webb这样评论道。

你所看到的关于云安全问题的处理方式通常仍旧很过时。在最近召开的RSA大会上，无数人告诉我云安全的关键在于从细节上明确涵盖安全问题的具体的SLA(服务等级协议)。如果坚持划定的责任并且供应商也对此负责，那么你就可以安心地继续了。

这的确有些道理，但是与其相信供应商会遵循SLA，不如相信你自己。你——做为一个非服务供应商——在敏感IP被窃取或者用户资料发生泄露的时候，面对董事会或者客户指责的将会是你自己。

一个服务供应商所都兜售的安全标准可能对安全问题并不能做到百分之百的小心。毕竟，这是高科技，而安全问题总是出现在事后。

3、私有和混合云中的多租户风险

在构建私有云或者混合云的时候，许多企业都会碰壁。最简单的东西已经被虚拟化，比如测试开发和文件打印。

“许多企业已经拥有30%的虚拟化架构。他们希望这个数字能够达到60%或者70%，但是比较容易的事情都已经做完了。他们正试图接触关键性的工作负载，但是这个时候安全问题总会成为严重的障碍，”HyTrust的虚拟化和云安全负责人Eric Chiu说。(责任编辑：admin)