2013 新年始伊，伴隨云計(jì)算應(yīng)用的大規(guī)模落地，越來越多用戶使用云計(jì)算有關(guān)產(chǎn)品，有關(guān)云計(jì)算負(fù)面聲音一定會(huì)不斷出現(xiàn)，下面是一些首席信息安全官和安全愛好者所列出的云計(jì)算在安全方面的七大問題，不管是否危言聳聽，云計(jì)算的建設(shè)者都該引以重視，也許來自負(fù)面的聲音正式創(chuàng)新的最佳途徑。

1、沒有在一開始就核對身份

安全登錄到云計(jì)算的唯一的方式是必須通過企業(yè)身份管理系統(tǒng)。雖然許多云服務(wù)允許企業(yè)內(nèi)部的任何人員在其中進(jìn)行注冊、創(chuàng)建自己的ID和密碼，而不用憑借員工在企業(yè)的個(gè)人電子郵箱地址，但這并不意味著IT部門或企業(yè)就應(yīng)該允許這種情況的發(fā)生。

“雖然這在一開始也許很容易，但不整合企業(yè)的信息管理系統(tǒng)將使得企業(yè)的系統(tǒng)都與某些漏洞可謂是開放的，同時(shí)也違反了相關(guān)的安全政策，并最終無法確保云計(jì)算的安全?！盇xway首席安全官約翰蒂倫斯說。以類似的方式，一些公司正在快速部署IaaS服務(wù)——使用自助服務(wù)功能，以解決IT部門的緩慢和遲鈍。但這種方法繞過了相關(guān)的治理，允許在沒有防御的情況下訪問云服務(wù)器。

“人們連接到他們不應(yīng)該看到的數(shù)據(jù)，如虛擬機(jī)上的傳統(tǒng)項(xiàng)目的從來不關(guān)的數(shù)據(jù)?！毙畔⒎?wù)集團(tuán)新興的技術(shù)分析師和云計(jì)算專家斯坦頓瓊斯解釋說。

如果它是一個(gè)面向客戶的云服務(wù)?訪問模式是什么?“您將如何對其進(jìn)行整合以便允許用戶以類似于單一內(nèi)部模式登錄。”俄亥俄州立大學(xué)首席信息安全官朱莉?塔爾博特哈伯德說。

2、對API安全要求充耳不聞

當(dāng)公司遷移到云計(jì)算，用戶將需要API(應(yīng)用編程接口)所以他們唯一可以利用公司的服務(wù)。云計(jì)算帶來的內(nèi)部服務(wù)和功能接近于客戶想要的訪問?；贏PI的整合能夠滿足這一需求。

移動(dòng)開發(fā)人員使用API在公司內(nèi)部設(shè)備和商業(yè)信息之上建立有價(jià)值的系統(tǒng)。“如果開發(fā)人員能夠賺錢，這些收入會(huì)削減您的價(jià)值鏈，這樣您就可以通過開發(fā)者的API門戶分享收益。”蒂倫斯解釋說。

盡管如此，開發(fā)人員訪問API服務(wù)的API密鑰，已然被拿來與密碼進(jìn)行比較。您可曾知道如果您失去了您的密碼會(huì)發(fā)生什么嗎?因此，使用云服務(wù)API的首席信息安全官們需要有一個(gè)堅(jiān)實(shí)的API密鑰的安全保護(hù)計(jì)劃。

3、云供應(yīng)商沒有保持足夠的獨(dú)立

隨著云服務(wù)的發(fā)展和新的供應(yīng)商的不斷涌現(xiàn)，諸如亞馬遜和Facebook之類的老的供應(yīng)商已然將最佳方案納入到了他們的標(biāo)準(zhǔn)中，而且他們的產(chǎn)品也能夠?yàn)樾⌒推髽I(yè)提供服務(wù)，據(jù)蒂倫斯說。

“這對于企業(yè)內(nèi)部基礎(chǔ)設(shè)施部署云計(jì)算是一種革命性的方法?！钡賯愃拐f。

一切仍在發(fā)展變化中，今天最好的云解決方案可能明天便不是最好的選擇了。供應(yīng)商在新標(biāo)準(zhǔn)方面的努力，TOSCA和CAMP(均來自于OASIS，結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織)及其提供的工具，使企業(yè)可以轉(zhuǎn)移到云架構(gòu)，而又不會(huì)不可避免地把自己鎖在一款給定的云。

企業(yè)應(yīng)該利用這些工具保持其獨(dú)立性，以便使得自己可以切換到新的云方法以便更適合的滿足企業(yè)的需求。在操作風(fēng)險(xiǎn)管理方面，業(yè)務(wù)彈性也很好，如果您需要有更好的靈活性，以便您能夠快速轉(zhuǎn)移到另一家服務(wù)供應(yīng)商。

4、認(rèn)為您已然將風(fēng)險(xiǎn)和責(zé)任都外包出去了

企業(yè)可以將一些基礎(chǔ)設(shè)施外包給云服務(wù)，但不能完全外包您企業(yè)的風(fēng)險(xiǎn)、問責(zé)制以及對于相關(guān)義務(wù)的遵守。企業(yè)需要讓其云提供商提供一定的透明度，以便讓他們充分了解自己的風(fēng)險(xiǎn)模型和企業(yè)策略。

這些需求能夠顯示出您的云服務(wù)提供商可能適合也可能不適合您企業(yè)的某些評估和風(fēng)險(xiǎn)管理?！澳荒茈S便的與一家云服務(wù)供應(yīng)商簽下合同，要求云提供商承擔(dān)所有的風(fēng)險(xiǎn)。”蒂倫斯說。云計(jì)算提供商當(dāng)然也不可能向您自己那樣關(guān)心您企業(yè)的風(fēng)險(xiǎn)。

去年的一個(gè)例子，那些將自己所有的業(yè)務(wù)都轉(zhuǎn)移到亞馬遜的單一的E2C服務(wù)的企業(yè)便遭遇了嚴(yán)重的停機(jī)問題。而那些將他們的數(shù)據(jù)存放在多個(gè)可用區(qū)域的企業(yè)便是由于分散了風(fēng)險(xiǎn)，從而能夠快速恢復(fù)。

5、在沒有IT和安全部門參與的情況下簽署了云解決方案合同

在沒有相關(guān)技術(shù)背景的條件下，您很容易注冊并選擇了一些大大小小的云供應(yīng)商。市場上眾多的云服務(wù)：Dropbox、SharePoint、亞馬遜的額外的計(jì)算魅力等，您的企業(yè)可能已經(jīng)在沒有IT相關(guān)專業(yè)知識(shí)介入的情況下使用云計(jì)算服務(wù)了，就像輸入您的信用卡號(hào)碼一樣容易!

“他們的想法是，他們可以繞過諸多的IT項(xiàng)目要求，并形成生產(chǎn)力?！盤rescient Solutions首席信息官兼國家網(wǎng)絡(luò)安全專責(zé)小組的成員杰里·歐文說。

不幸的是，這種做法帶來了許多新的安全、性能和容錯(cuò)方面的問題。在沒有IT部門參與的情況下實(shí)施企業(yè)解決方案，可能造成用戶與現(xiàn)有的系統(tǒng)、配置和應(yīng)用的沖突。不合格的人員對于監(jiān)管和遵守相關(guān)要求了解甚少，他們可能遇到的麻煩更多?！半m然這些云應(yīng)用程序可以提供快速解決特定的功能需求，但他們所帶來的風(fēng)險(xiǎn)和脆弱性可能導(dǎo)致顯著的成本損失、系統(tǒng)故障、違規(guī)行為和面臨罰款。”歐文解釋說。

正是由于這些原因，所有云的采納都需要進(jìn)行風(fēng)險(xiǎn)評估、合同審查、合規(guī)性檢查和企業(yè)內(nèi)部政策檢查。當(dāng)在部署和采用云計(jì)算之前，沒有任何IT、采購或是其他相關(guān)部門雞兒的情況下，企業(yè)有可能會(huì)失去所有對于相關(guān)數(shù)據(jù)、應(yīng)用程序、服務(wù)和基礎(chǔ)設(shè)施的治理，塔爾博特哈伯德說。

6、高估云安全

信息安全論壇全球執(zhí)行副總裁史蒂夫·德賓指出，急于采用云服務(wù)，實(shí)現(xiàn)潛在的節(jié)約，可能會(huì)使企業(yè)專注于云計(jì)算服務(wù)的功能，而沒有在意云服務(wù)提供商提供安全的方式，或如何在安全方面進(jìn)行檢查。

這種情況往往在企業(yè)想當(dāng)然的認(rèn)為云服務(wù)提供商是為多家企業(yè)提供服務(wù)，他們必須有一個(gè)更強(qiáng)大的安全部門和強(qiáng)有力的政策、流程和程序時(shí)發(fā)生?！笆聦?shí)往往并非如此?！睔W文說。通常云服務(wù)供應(yīng)商將參加企業(yè)內(nèi)部基本安全水平、自動(dòng)安全應(yīng)用程序和平臺(tái)的部署，完成大部分的安全措施。其他云供應(yīng)商可能將更高水平的核心安全服務(wù)外包給專長的第三方供應(yīng)商。但安全服務(wù)的第三方供應(yīng)商的服務(wù)可能不包括云計(jì)算提供者與客戶簽署的合同要求的相關(guān)輔助措施。

“您必須要求服務(wù)提供者保持特定的安全功能、文檔安全任務(wù)，并提供所有安全政策和方案以及安全報(bào)告的副本。”歐文說。

7、不理解相關(guān)的費(fèi)用

當(dāng)云提供商展示他們的產(chǎn)品時(shí)，基于潛在客戶方面的因素他們經(jīng)常只展示基本的產(chǎn)品成本。“不幸的是，在選定一家服務(wù)提供商之后，企業(yè)經(jīng)常需要一些額外的服務(wù)、軟件許可證執(zhí)照甚至硬件，以便執(zhí)行所有任務(wù)?！睔W文說。安全費(fèi)用和遵守有關(guān)規(guī)定的成本同樣將上升。企業(yè)低估了云計(jì)算的成本，甚至由于為了滿足一些不切實(shí)際的內(nèi)部IT資源期望，他們將需要了解云中的應(yīng)用程序的數(shù)量。

歐文說：“這取決于云服務(wù)提供服務(wù)的類型(即 SAAS、PAAS、IAAS)，企業(yè)內(nèi)部所需資源的數(shù)量可能不會(huì)改變。事實(shí)上，我們很多部署了云計(jì)算的客戶并沒有因?yàn)椴渴鹆嗽朴?jì)算而減少其企業(yè)內(nèi)部的相關(guān)職能部門的配備?！?/p>

在任何情況下，企業(yè)將應(yīng)用程序和系統(tǒng)100%外包到云計(jì)算的可能性是很小的。即使企業(yè)將他們大多數(shù)的系統(tǒng)轉(zhuǎn)移到了云解決方案，但仍然有內(nèi)部的基礎(chǔ)設(shè)施、工作站和工程師方面的要求。歐文說：“這樣一來，IT部門的成本只是受到了最低限度的影響?！?/p>