云計算的七大安全風險

　　按照Gartner的定義，云計算是這樣一種計算形式，在其中有“大量可靈活擴展的IT能力，以‘服務’方式交付給使用互聯網技術的外部客戶。”Gartner在報告中列出了客戶在選擇云計算廠商之前應當關注的七個安全問題。

　　1、特權用戶的訪問權限。在企業之外處理敏感數據會帶來內在的風險，因為外包服務一般都會繞過企業IT部門對內部所施加的“物理的、邏輯的和人員控制”。必須獲得盡可能多的有關管理企業數據的人員的信息。“必須要求供應商提供有關雇用和監督特權管理員的具體資料，以及控制他們的訪問的辦法，”Gartner表示。

　　2、法規遵從。客戶對于他們自己數據的安全和完整性是要負最終責任的，即便是把數據交由外部的服務供應商托管也是如此。傳統的服務提供商都要接受外部審計和安全認證。而如果云計算服務商拒絕接受監督和審計的話，就“表明客戶只能行使一些最無關緊要的職能，”Gartner說。

　　3、數據的存放位置。客戶在使用云計算時，可能無法確切地知道你的數據到底被托管在什么地方。事實上，你甚至可能不知道這些數據存放在了哪個國家。因此必須要問清楚，服務商將會具體在哪些司法管轄區存儲和處理數據，他們是否會按照客戶的要求通過合同約定以遵守當地的隱私保護條例。

　　4、數據隔離。數據在云中通常是處在一個和其他客戶的數據共享的環境中。加密雖然是有效的，但并不是萬能靈丹。因此要“找出你的數據在休眠時是否做了隔離，”Gartner建議說。云計算供應商應提供證據，證明他們已設計了加密計劃，并通過了經驗豐富的專家們的驗證。“任何加密上的意外，都有可能導致數據完全無法使用，即便正常的加密也可能使數據的可用性變得相當復雜，”Gartner表示。

　　5、數據恢復。即使你不知道數據存放在什么地方，云計算供應商也應該告訴你，一旦發生災難性事件，你的數據和服務將會如何進行保護。“任何無法提供異地數據與應用基礎設施復制的服務都很容易完全失效，”Gartner表示。所以要詢問供應商是否有“能力進行完整的恢復，哪怕恢復時間過長都無所謂。

　　6、調查方面的支持。Gartner告誡說，調查不適當的或非法的行為，在云計算領域幾乎是不可能的。“云計算服務特別難于進行調查，因為多個客戶的日志記錄和數據可能存放在同一地點，也可能遍布在不斷變化的一組主機和數據中心。如果你不能得到合同的承諾，以支持特定形式的調查，以及供應商已有過成功支持此類調查的案例的話，那么只依靠調查和發現證據的安全假設就將是不可能的。”

　　7、長期生存能力。理想情況下，你的云計算服務商絕不會破產或被一家較大的公司收購和吞并。你必須確定數據在發生了此類事件后仍能繼續使用。“要詢問可能的云計算服務商，怎么才能要回你的數據，數據格式是否可以讓你能夠導入到替代的應用中，”Gartner說。

　　"3I S"護航云計算

　　3I：由點到面挖掘信息風險

　　“3I”指的是Indentifies (身份保護)、Infrastructure (基礎架構保護)、Information (信息保護)

　　不同的廠商提供的安全控制點之間的協調由GRC去統一管理，也就是治理、風險、合規這樣一個政策框架管理的。

　　也就是說不管你這家公司自己內部是有什么樣的治理條例或者當地國家有什么樣的法規，都可以被放到這樣一個GRC的政策框架中去執行。這樣的話在這個大的框架之下，所有這些安全節點的運行都是符合公司內部條規和當地法規的。

　　如何實現協調？就是有賴于一家企業建立一個適當的運營策略框架。當然首先要對這個企業的運營，就是存在什么樣的信息風險有一個充分的了解，然后再知道應該采取什么樣的方式去控制風險。也就是說要從這三個方面找出可能出現的信息風險，然后才能針對這三類風險的特點進行控制和治理。

　　S：動態分析形成安全閉環

　　“S”指的是SIEM，就是安全信息事件管理，安全信息事件管理是屬于在后臺運作的系統，這些在各個節點的安全產品它們的運轉產生了很多日志信息和事件，這些日志信息和事件是由后臺的SIEM系統收集的。有了SIEM這樣一個信息的收集，就可以理解和分析各個控制點是不是在正常的運轉，并且把這些信息反饋給我們GRC的政策框架。所以這就是對一個企業形成了非常良好的安全閉環系統。

　　對安全產品運行過程中出現的日志信息和事件進行收集整理及理解分析，從中可以找到潛在的安全漏洞或安全薄弱環節并加以修復，同時決策框架也會在以后的運行過程中對這類安全風險加以重視，及時準確地清除安全風險。

　　“3I”：Indentifies (身份保護)、Infrastructure (基礎架構保護)、Information (信息保護)分別對應的云計算中用戶的身份保護、服務提供商的安全問題、數據中心的信息安全這樣三個方面。也就是說要保護用戶的隱私權，使其信息不被三個環節中的任何一個泄漏出去;同時要保障基礎架構的安全，基礎架構一旦被破壞了，兩端的信息都有可能泄漏出去，而且云計算整個系統也會癱瘓;第三點的影響力更大，一旦數據中心遭到入侵，大量的資料或數據就會遭到惡意利用，后果不堪設想。因此，這三個方面都是云安全的重中之重。

　　GRC可以幫助云計算中的三方各自管理好自身的信息安全問題，動態分析則又將這三者聯系到一起，將一個環節中出現的問題共享，提前找出其他兩個環節中存在相似的問題，或者檢測類似問題的發生，都能提高云計算的安全性能。