让企业数据在公共云环境保持安全(1)

考虑到IT外包服务的成熟，企业为了实现更大的成本节约和资源利用率，会很自然的选择公共云计算服务。而事实并非如此。其中对公共云服务的安全性质疑一直是企业不敢采纳公共云服务的主要原因。对大多数企业来说，数据安全的风险会让它们非常恐惧。

本文中将大致介绍一下为何企业为了更好的效益应该采用公共云服务，采用公共云服务所面临的关键安全问题和挑战是什么，以及在整体的安全评估框架中该做些什么，才能解决公共云服务所面临的安全挑战。

首先，目前并没有确凿的数据支持部分人认为“公共云服务相比企业内部数据中心的安全机制更弱”这一观点。事实上，针对Google, Sony & RSA 等大公司的网络攻击和数据丢失案例已经显示出，再严密的企业内部安全防范机制也能借由狡猾的社交陷而突破或绕过。尤其是从古至今信息安全防范机制中的一个薄弱环节一直没有被修复，即“人的因素”。

虽然这些安全漏洞并不能直接与公共云联系起来，但大部分企业都趋向于将知识产权等重要数据放在企业内部自行保管。那么公共云到底能不能妥善的保管企业的知识产权呢?考虑到公共云的扩展性，灵活性以及按需性能，答案是肯定的。

联邦政府机构，比如美国、新加坡以及亚洲和欧洲的很多政府机构都是公共云服务的早期用户，他们也促进了公共云服务供应商在云安全服务上的快速成熟。在很多实例以及特定的安全类型中，比如针对恶意软件、病毒，以及分布式拒绝服务攻击的保护方面，公共云安全技术已经证明其能比企业内部的安全防御方案更有效的对数据提供保护。Sony抵御 LOIC DDoS攻击就是个很好的例子。

总之，终端用户对于互联网服务的永无尽头的需求已经开始让公共云服务扩展到了媒体娱乐领域，如音乐、电影、社交媒体以及电子商务等。

企业也没有时间继续观望下去了。如果不采用已经被很多企业成功采用的公共云服务，所面临的企业竞争力下降的风险可能会更严重。如果企业还需要更令人信服的证据，那么可以问问Oracle的 Larry Ellison ，他曾经用“毫无意义”、“疯狂”、“白痴”等词汇形容云计算，而现在他也决定加入云计算大家庭了。这个证据有说服力吧?

不过，并不是所有类型的企业数据或服务都适合在公共云环境下管理，但是从一般的风险评估框架来看，公共云的数据安全风险可以被控制在一个能够被大部分企业接受的程度。

知晓你的云计算方案风险

每个企业的特点都是不一样的，其所面临的安全风险也是根据企业所处的行业以及运营环境而有所不同。而企业的风险因素必须被记录并处于管理之下。公共云服务也有其自身特有的安全风险，这种风险与传统的IT外包所面临风险不同，而是与公共云所采用的技术有自然的联系。下面列出了有关公共云计算的风险以及企业应该做的准备工作。

有关公共云计算的关键性安全风险/问题包括以下方面：

· 不了解所使用的云计算服务– 由于公共云服务的使用成本门槛很低，导致企业领导认为公共云服务比企业的IT部门更具性价比，于是将企业给客户提供的新产品和服务全部通过公共云服务实现。IT服务的采购必须在严格的控制下进行，避免企业数据通过不受监控的公共云服务渠道流失。

· 信息安全管理 – 在数据的生命周期内，最基本的安全需求是数据的保密性、完整性和可用性。具体来说，数据在创建、存储、处理和使用、共享、归档以及最终销毁的整个过程都需要进行安全保护。而当企业无法直接通过服务供应商的设备对数据进行直接控制时，就会面临安全挑战。因此要选择带有数据加密，加密密钥管理以及高可用性方案的公共云服务，这是最重要的。

· 知道数据在哪里- 贯穿数据的生命周期始终，企业必须要从云服务供应商那里获得确切的保证，确保企业的数据保存在所规定的地理范围内。这可以通过合同，服务水平协议以及相应的程序法律和规章制度进行规范和约定。

· 电子证据 – 采用公共云服务意味着企业必须与其它企业共享相同的硬件设备，比如硬盘。这就意味这要承担一定的数据泄露风险。因为一旦某个企业由于法律问题遭到调查，政府和法律机构可以根据相应的法律(比如美国的爱国者法案)对硬盘中存储的数据进行提取和分析，而且不需要得到数据主人的批准。企业的一些敏感信息，比如个人的身份信息等不应该存放在公共云服务环境，以避免此类情况的出现。

· 厂商绑定 – 有时候从一个云服务供应商向另一个云服务供应商迁移的难度要比第一次采用云服务更难。很多云服务供应商处于利益考虑，都倾向于阻止用户放弃自己的服务转投别家。

有关选择公共云服务时所面临的风险和挑战，网上还有很多论述，读者可以通过 Cloud Security Alliance (CSA), European Network and Information Security Agency (ENISA), National Institute of Standards and Technology (NIST)等站点参考。相信能够帮助很多企业了解到云计算的风险问题。

在预见到以上的风险后，企业可以自己制定一个风险评估框架，用来评估公共云服务供应商，并从中选择适合企业自身情况的供应商。


服务器托管、租用，VPS,请联系——
亿恩科技-明宇
QQ:1613285598
电话：0371-63322220

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]