很多人總是認(rèn)為云環(huán)境不太安全,而將應(yīng)用程序和數(shù)據(jù)放在他們自己的數(shù)據(jù)中心才更安全。但真的是這樣嗎?早在2010年5月,CA和Ponemon研究所對(duì)900多名IT專業(yè)人士進(jìn)行了調(diào)查,他們發(fā)現(xiàn)IT從業(yè)者認(rèn)為在云環(huán)境安全風(fēng)險(xiǎn)更加難以控制,包括對(duì)數(shù)據(jù)資源物理位置的保護(hù)和限制特權(quán)用戶訪問(wèn)敏感數(shù)據(jù)。該調(diào)查發(fā)現(xiàn),IT人員承認(rèn)他們不太清楚哪些計(jì)算資源被部署在云環(huán)境中,主要是因?yàn)檫@些都是由終用戶從非IT視角作出的決定。約有一半的受訪者承認(rèn)很多云資源在部署之前并沒(méi)有進(jìn)行安全評(píng)估。

  也許所有對(duì)云環(huán)境的擔(dān)憂源自于不安全的Web應(yīng)用程序,而不是云本身。很多web安全漏洞(如跨站腳本和SQL注入攻擊)在web服務(wù)器剛被發(fā)明的時(shí)候出現(xiàn)了,出于某些原因,它們?nèi)匀辉诤芏嗥髽I(yè)系統(tǒng)中“作威作!。更加諷刺的是,2010年Aberdeen集團(tuán)的報(bào)告顯示,基于云的web安全工具比企業(yè)內(nèi)部安全工具出現(xiàn)更少惡意事件。

  選擇云服務(wù)的用戶應(yīng)該要求供應(yīng)商回答以下四個(gè)問(wèn)題:

   1、數(shù)據(jù)存儲(chǔ)在云基礎(chǔ)設(shè)施時(shí),數(shù)據(jù)是如何加密的,包括使用中數(shù)據(jù)和靜態(tài)數(shù)據(jù)?
   2、是否部署了細(xì)粒度訪問(wèn)控制?
   3、是否有多余的云基礎(chǔ)設(shè)施?
   4、Web應(yīng)用程序保護(hù)到位嗎?

  數(shù)據(jù)加密

  數(shù)據(jù)存儲(chǔ)在云端時(shí)是如何加密的(包括使用中數(shù)據(jù)和靜態(tài)數(shù)據(jù))?

  大多數(shù)云供應(yīng)商會(huì)自動(dòng)加密傳輸中的數(shù)據(jù)(通過(guò)要求web瀏覽器進(jìn)行SSL連接),但是這些數(shù)據(jù)是否被保存在加密容器中則是另一回事。好的辦法是創(chuàng)建一個(gè)混合公共/私有云,這樣所有云資源都可以位于企業(yè)防火墻后面,像在自己數(shù)據(jù)中心一樣受到保護(hù)。

  大多數(shù)云供應(yīng)商提供某種虛擬專用網(wǎng)(VPN)保護(hù),這樣信息在傳輸過(guò)程中將被加密,并且能夠通過(guò)普通網(wǎng)絡(luò)共享來(lái)訪問(wèn)。例如,Verizon公司的計(jì)算作為服務(wù)提供了思科的AnyConnect VPN客戶端(從IE瀏覽器啟動(dòng))。

  其他云供應(yīng)商提供虛擬防火墻,這個(gè)防火墻連接到企業(yè)數(shù)據(jù)中心內(nèi)部的防火墻,或者與傳統(tǒng)思科VPN網(wǎng)關(guān)連接。

  Amazon網(wǎng)絡(luò)服務(wù)之一虛擬私有云允許你連接任何Amazon云資源到你的企業(yè)位置,你可以橋接你的Amazon和企業(yè)網(wǎng)絡(luò),分配私有IP地址范圍,在連接到互聯(lián)網(wǎng)之前,從云環(huán)境運(yùn)行的應(yīng)用程序路由流量到內(nèi)部安全設(shè)備。