讓企業(yè)數(shù)據(jù)在公共云環(huán)境保持安全(1)

考慮到IT外包服務(wù)的成熟，企業(yè)為了實(shí)現(xiàn)更大的成本節(jié)約和資源利用率，會(huì)很自然的選擇公共云計(jì)算服務(wù)。而事實(shí)并非如此。其中對(duì)公共云服務(wù)的安全性質(zhì)疑一直是企業(yè)不敢采納公共云服務(wù)的主要原因。對(duì)大多數(shù)企業(yè)來(lái)說(shuō)，數(shù)據(jù)安全的風(fēng)險(xiǎn)會(huì)讓它們非常恐懼。

本文中將大致介紹一下為何企業(yè)為了更好的效益應(yīng)該采用公共云服務(wù)，采用公共云服務(wù)所面臨的關(guān)鍵安全問(wèn)題和挑戰(zhàn)是什么，以及在整體的安全評(píng)估框架中該做些什么，才能解決公共云服務(wù)所面臨的安全挑戰(zhàn)。

首先，目前并沒(méi)有確鑿的數(shù)據(jù)支持部分人認(rèn)為“公共云服務(wù)相比企業(yè)內(nèi)部數(shù)據(jù)中心的安全機(jī)制更弱”這一觀(guān)點(diǎn)。事實(shí)上，針對(duì)Google, Sony & RSA 等大公司的網(wǎng)絡(luò)攻擊和數(shù)據(jù)丟失案例已經(jīng)顯示出，再?lài)?yán)密的企業(yè)內(nèi)部安全防范機(jī)制也能借由狡猾的社交陷而突破或繞過(guò)。尤其是從古至今信息安全防范機(jī)制中的一個(gè)薄弱環(huán)節(jié)一直沒(méi)有被修復(fù)，即“人的因素”。

雖然這些安全漏洞并不能直接與公共云聯(lián)系起來(lái)，但大部分企業(yè)都趨向于將知識(shí)產(chǎn)權(quán)等重要數(shù)據(jù)放在企業(yè)內(nèi)部自行保管。那么公共云到底能不能妥善的保管企業(yè)的知識(shí)產(chǎn)權(quán)呢?考慮到公共云的擴(kuò)展性，靈活性以及按需性能，答案是肯定的。

聯(lián)邦政府機(jī)構(gòu)，比如美國(guó)、新加坡以及亞洲和歐洲的很多政府機(jī)構(gòu)都是公共云服務(wù)的早期用戶(hù)，他們也促進(jìn)了公共云服務(wù)供應(yīng)商在云安全服務(wù)上的快速成熟。在很多實(shí)例以及特定的安全類(lèi)型中，比如針對(duì)惡意軟件、病毒，以及分布式拒絕服務(wù)攻擊的保護(hù)方面，公共云安全技術(shù)已經(jīng)證明其能比企業(yè)內(nèi)部的安全防御方案更有效的對(duì)數(shù)據(jù)提供保護(hù)。Sony抵御 LOIC DDoS攻擊就是個(gè)很好的例子。

總之，終端用戶(hù)對(duì)于互聯(lián)網(wǎng)服務(wù)的永無(wú)盡頭的需求已經(jīng)開(kāi)始讓公共云服務(wù)擴(kuò)展到了媒體娛樂(lè)領(lǐng)域，如音樂(lè)、電影、社交媒體以及電子商務(wù)等。

企業(yè)也沒(méi)有時(shí)間繼續(xù)觀(guān)望下去了。如果不采用已經(jīng)被很多企業(yè)成功采用的公共云服務(wù)，所面臨的企業(yè)競(jìng)爭(zhēng)力下降的風(fēng)險(xiǎn)可能會(huì)更嚴(yán)重。如果企業(yè)還需要更令人信服的證據(jù)，那么可以問(wèn)問(wèn)Oracle的 Larry Ellison ，他曾經(jīng)用“毫無(wú)意義”、“瘋狂”、“白癡”等詞匯形容云計(jì)算，而現(xiàn)在他也決定加入云計(jì)算大家庭了。這個(gè)證據(jù)有說(shuō)服力吧?

不過(guò)，并不是所有類(lèi)型的企業(yè)數(shù)據(jù)或服務(wù)都適合在公共云環(huán)境下管理，但是從一般的風(fēng)險(xiǎn)評(píng)估框架來(lái)看，公共云的數(shù)據(jù)安全風(fēng)險(xiǎn)可以被控制在一個(gè)能夠被大部分企業(yè)接受的程度。

知曉你的云計(jì)算方案風(fēng)險(xiǎn)

每個(gè)企業(yè)的特點(diǎn)都是不一樣的，其所面臨的安全風(fēng)險(xiǎn)也是根據(jù)企業(yè)所處的行業(yè)以及運(yùn)營(yíng)環(huán)境而有所不同。而企業(yè)的風(fēng)險(xiǎn)因素必須被記錄并處于管理之下。公共云服務(wù)也有其自身特有的安全風(fēng)險(xiǎn)，這種風(fēng)險(xiǎn)與傳統(tǒng)的IT外包所面臨風(fēng)險(xiǎn)不同，而是與公共云所采用的技術(shù)有自然的聯(lián)系。下面列出了有關(guān)公共云計(jì)算的風(fēng)險(xiǎn)以及企業(yè)應(yīng)該做的準(zhǔn)備工作。

有關(guān)公共云計(jì)算的關(guān)鍵性安全風(fēng)險(xiǎn)/問(wèn)題包括以下方面：

· 不了解所使用的云計(jì)算服務(wù)– 由于公共云服務(wù)的使用成本門(mén)檻很低，導(dǎo)致企業(yè)領(lǐng)導(dǎo)認(rèn)為公共云服務(wù)比企業(yè)的IT部門(mén)更具性?xún)r(jià)比，于是將企業(yè)給客戶(hù)提供的新產(chǎn)品和服務(wù)全部通過(guò)公共云服務(wù)實(shí)現(xiàn)。IT服務(wù)的采購(gòu)必須在嚴(yán)格的控制下進(jìn)行，避免企業(yè)數(shù)據(jù)通過(guò)不受監(jiān)控的公共云服務(wù)渠道流失。

· 信息安全管理 – 在數(shù)據(jù)的生命周期內(nèi)，最基本的安全需求是數(shù)據(jù)的保密性、完整性和可用性。具體來(lái)說(shuō)，數(shù)據(jù)在創(chuàng)建、存儲(chǔ)、處理和使用、共享、歸檔以及最終銷(xiāo)毀的整個(gè)過(guò)程都需要進(jìn)行安全保護(hù)。而當(dāng)企業(yè)無(wú)法直接通過(guò)服務(wù)供應(yīng)商的設(shè)備對(duì)數(shù)據(jù)進(jìn)行直接控制時(shí)，就會(huì)面臨安全挑戰(zhàn)。因此要選擇帶有數(shù)據(jù)加密，加密密鑰管理以及高可用性方案的公共云服務(wù)，這是最重要的。

· 知道數(shù)據(jù)在哪里- 貫穿數(shù)據(jù)的生命周期始終，企業(yè)必須要從云服務(wù)供應(yīng)商那里獲得確切的保證，確保企業(yè)的數(shù)據(jù)保存在所規(guī)定的地理范圍內(nèi)。這可以通過(guò)合同，服務(wù)水平協(xié)議以及相應(yīng)的程序法律和規(guī)章制度進(jìn)行規(guī)范和約定。

· 電子證據(jù) – 采用公共云服務(wù)意味著企業(yè)必須與其它企業(yè)共享相同的硬件設(shè)備，比如硬盤(pán)。這就意味這要承擔(dān)一定的數(shù)據(jù)泄露風(fēng)險(xiǎn)。因?yàn)橐坏┠硞�(gè)企業(yè)由于法律問(wèn)題遭到調(diào)查，政府和法律機(jī)構(gòu)可以根據(jù)相應(yīng)的法律(比如美國(guó)的愛(ài)國(guó)者法案)對(duì)硬盤(pán)中存儲(chǔ)的數(shù)據(jù)進(jìn)行提取和分析，而且不需要得到數(shù)據(jù)主人的批準(zhǔn)。企業(yè)的一些敏感信息，比如個(gè)人的身份信息等不應(yīng)該存放在公共云服務(wù)環(huán)境，以避免此類(lèi)情況的出現(xiàn)。

· 廠(chǎng)商綁定 – 有時(shí)候從一個(gè)云服務(wù)供應(yīng)商向另一個(gè)云服務(wù)供應(yīng)商遷移的難度要比第一次采用云服務(wù)更難。很多云服務(wù)供應(yīng)商處于利益考慮，都傾向于阻止用戶(hù)放棄自己的服務(wù)轉(zhuǎn)投別家。

有關(guān)選擇公共云服務(wù)時(shí)所面臨的風(fēng)險(xiǎn)和挑戰(zhàn)，網(wǎng)上還有很多論述，讀者可以通過(guò) Cloud Security Alliance (CSA), European Network and Information Security Agency (ENISA), National Institute of Standards and Technology (NIST)等站點(diǎn)參考。相信能夠幫助很多企業(yè)了解到云計(jì)算的風(fēng)險(xiǎn)問(wèn)題。

在預(yù)見(jiàn)到以上的風(fēng)險(xiǎn)后，企業(yè)可以自己制定一個(gè)風(fēng)險(xiǎn)評(píng)估框架，用來(lái)評(píng)估公共云服務(wù)供應(yīng)商，并從中選擇適合企業(yè)自身情況的供應(yīng)商。


服務(wù)器托管、租用，VPS,請(qǐng)聯(lián)系——
億恩科技-明宇
QQ:1613285598
電話(huà)：0371-63322220

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]