保護(hù)云計(jì)算安全的三個(gè)必備步驟

你完全可以閉上眼睛，假裝云計(jì)算并沒有出現(xiàn)在面前——許多CIO就是這么做的，不過我們還得面對(duì)這個(gè)事實(shí)：“云計(jì)算與我們同在。每個(gè)人很快就會(huì)用它。”

至少這是Jim Haskin及其他業(yè)內(nèi)人士的預(yù)言，Jim Haskin是總部設(shè)在圣迭戈的數(shù)據(jù)安全提供商Websense公司的CIO。

這是讓人害怕的想法嗎？對(duì)許多CIO來說，確實(shí)如此。Kirill Sheynkman是總部設(shè)在舊金山的Elastra公司的CEO，該公司開發(fā)目前與亞馬遜的云計(jì)算服務(wù)部署在一起的應(yīng)用軟件。他說：“人們一提到云計(jì)算，就感到恐慌。”那么，這種恐慌有根有據(jù)嗎？就因?yàn)樵竭^防火墻帶來的那些安全問題？

Sheynkman不以為然。他說：“安全不是什么問題。你覺得貴公司的IT部門比亞馬遜還要了解數(shù)據(jù)安全嗎？”

還是面對(duì)現(xiàn)實(shí)吧：“云計(jì)算環(huán)境中的數(shù)據(jù)安全與遠(yuǎn)程數(shù)據(jù)中心中的數(shù)據(jù)安全沒什么不同，” 芝加哥的IT咨詢公司Compass的高級(jí)顧問John Lytle如是說。

在許多情況下，大多數(shù)公司的數(shù)據(jù)“在自己的環(huán)境下比在精心管理的云計(jì)算環(huán)境下還要來得岌岌可危，”Cloudworks公司的CEO Mike Eaton說，總部設(shè)在加州千橡市的這家公司提供基于云計(jì)算的服務(wù)，主要面向中小企業(yè)。

有能力控制嗎？

幾大云計(jì)算服務(wù)商：亞馬遜、谷歌和Sun對(duì)確保網(wǎng)上安全非常在行；有鑒于此，有些人擔(dān)心外面的人攻破安全這道墻、對(duì)自己的數(shù)據(jù)為所欲為，這確實(shí)似乎沒有必要。Sheynkman說：“人們擔(dān)心過頭了。”

Haskin進(jìn)一步敘述：“云計(jì)算環(huán)境中的數(shù)據(jù)安全應(yīng)該不是問題。”我們需要詢問其他問題，以便弄清楚為什么我們害怕云計(jì)算、為什么CIO這個(gè)群體對(duì)云計(jì)算采取抵制態(tài)度。不過CIO們也許應(yīng)當(dāng)打消這種心態(tài)，因?yàn)槭Ｏ碌臅r(shí)間不多了。

總部設(shè)在加州芒廷維尤的Dreamfactory公司開發(fā)基于云計(jì)算的應(yīng)用，這家公司的首席技術(shù)官Bill Appleton敲響了警鐘：“云計(jì)算可能會(huì)跳過IT部門這個(gè)環(huán)節(jié)，直接向最終用戶促銷。它可能完全跳過IT部門的指揮和控制系統(tǒng)。”

而這也許是應(yīng)當(dāng)要擔(dān)心的問題。這是因?yàn)�，CIO的噩夢主要針對(duì)員工未經(jīng)授權(quán)就擅自使用公共云計(jì)算資源，他們可能會(huì)把公司內(nèi)部的敏感數(shù)據(jù)放在網(wǎng)上的電子表格或者幻燈片里面。

全球IT基礎(chǔ)設(shè)施提供商Terremark Worldwide公司負(fù)責(zé)安全服務(wù)的高級(jí)副總裁Christopher Day說：“大多數(shù)CIO主要擔(dān)心員工把不應(yīng)該公之于眾的數(shù)據(jù)放在公共地方。”這種擔(dān)心不無道理。如果董事會(huì)發(fā)現(xiàn)自己公司的戰(zhàn)略方案居然放在公共云計(jì)算環(huán)境、誰都可以看到，會(huì)有怎樣的表態(tài)呢？但Day也表示，CIO們只要采取一種直接的方法，就能排除這個(gè)重大的安全隱患。

Day說：“只要把明確的政策落實(shí)到位，然后向員工傳達(dá)這些政策。”

應(yīng)當(dāng)正視現(xiàn)實(shí)，迎面著手解決這個(gè)問題。這就是消除這個(gè)風(fēng)險(xiǎn)的辦法。還要明白上傳敏感數(shù)據(jù)的員工通常出于好意。他們只是在尋找更有效的工作方式。Day補(bǔ)充說，所以也要關(guān)注其他更安全的方式，以便滿足員工的正當(dāng)要求。如果采取了這兩個(gè)步驟，貴公司里面云計(jì)算導(dǎo)致的影子IT（shadow IT）極可能會(huì)銷聲匿跡。

保護(hù)登錄安全

云計(jì)算方面另一個(gè)久久揮之不去的陰影就是，許多提供商的登錄機(jī)制太原始、太簡單了。開發(fā)數(shù)據(jù)安全工具的芝加哥Aladdin公司的總經(jīng)理John Gunn斷然預(yù)測：“除非安全得到大幅增強(qiáng)，否則大企業(yè)不會(huì)積極采用云計(jì)算。”這里擔(dān)心的問題是，如果使用功能基本的登錄機(jī)制，傳統(tǒng)的社會(huì)工程手法就可以讓黑客明白員工的登錄信息，結(jié)果數(shù)據(jù)泄漏事件難免會(huì)隨之而來。

不過Gunn表示，解決辦法很簡單：企業(yè)應(yīng)當(dāng)只允許數(shù)據(jù)遷移到使用雙因子強(qiáng)驗(yàn)證技術(shù)的云計(jì)算環(huán)境。在這種環(huán)境下，黑客恐怕就無法近身。Gunn認(rèn)為，只要采取了這個(gè)步驟，大公司反對(duì)云計(jì)算的阻力基本上就會(huì)馬上煙消云散。大多數(shù)主流的云計(jì)算服務(wù)提供商在這個(gè)問題上躊躇不前，不過Gunn表示，如果有足夠多的用戶呼吁要求采取防范措施，云計(jì)算服務(wù)提供商會(huì)積極響應(yīng)。

現(xiàn)在該怎么辦？

跨國安全公司趨勢科技的首席技術(shù)官Raimund Genes說，最后一大問題是，特別是在如今經(jīng)濟(jì)不穩(wěn)定的形勢下，云計(jì)算服務(wù)提供商有多久的生命力？“你需要至少三年內(nèi)不會(huì)破產(chǎn)或失敗的提供商。如果你把自己的IT基礎(chǔ)設(shè)施交給對(duì)方，就需要靠得住的服務(wù)服務(wù)器。”如果云計(jì)算服務(wù)提供商破產(chǎn)，如何可以訪問你的信息？誰可以訪問？最好選擇一家有雄厚資金、有能力參與長期競爭的云計(jì)算服務(wù)提供商，那樣根本用不著為這類問題而操心。

Elastra公司的Sheynkman為仍在為云計(jì)算環(huán)境里面的數(shù)據(jù)而苦惱的CIO們提出了最后一條忠告，他提醒我們：“這不是什么極端的問題；沒必要這樣。單單把你覺得沒什么問題的數(shù)據(jù)放在云計(jì)算環(huán)境上。大多數(shù)公司似乎正在這么做。我們?nèi)蕴幵谠囼?yàn)、摸索的階段。”

在這個(gè)初期階段，邁的步子要小些，但應(yīng)當(dāng)開始邁出幾步，這才是積極接受云計(jì)算的明智方式。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]