在這種經濟蕭條的大背景下，IT部門都面臨著IT安全預算緊缺以及不斷增強的合規(guī)要求等問題，企業(yè)們都在考慮是否應當將某些IT運營交給云服務供應商處理。事實上，每個人都深感壓力，預算不夠的情況下還要盡力保護數據的安全，特別是中小型企業(yè)，這也就意味著企業(yè)需要將部分IT運行外包給第三方以減少資金和人力方面的投資。

急切地投身到云計算中從安全角度考慮是很危險的，但是如果你認為你能夠比服務供應商更好的保護你的基礎設施，而完全不考慮云計算也是不明智的舉措。其他錯誤想法還包括：認為將數據交給云服務供應商后就不再需要為數據安全保障負責人;認為是由你來決定企業(yè)是否以及如何使用軟件即服務(SaaS)：可能你會發(fā)現你是最后一個知道企業(yè)已經部署SaaS的人。

當企業(yè)在考慮或者決定將企業(yè)的系統(tǒng)、應用程序以及數據轉移到基于服務的模式(即云計算)時，還會犯很多其他錯誤，這些錯誤包括：沒有對云服務供應商的安全性進行驗證和測試，不對供應商的可靠性進行核實，不做任何修改就將企業(yè)不安全的應用程序交給供應商，希望應用程序自動會變得更加安全。

讓我們來仔細分析這六種常見安全云計算錯誤，以及如何避免發(fā)生這些錯誤。

錯誤1：認為云安全比不上數據中心

作為保護公司數據和知識產權的主要負責人，安全專家們基本上都有很強的控制欲望，這也讓安全專家們產生這樣的誤會，“最常見的錯誤就是，只要我們談論云計算，企業(yè)們就會認為云計算的安全性比不上企業(yè)自己的IT安全運營，”Forrester研究機構的主要分析師Chenxi Wang表示，“企業(yè)普遍認為，控制力度越強就越安全?！?/P>

事實上，對于像Google的SaaS這樣的云服務，數據丟失發(fā)生的可能性不大，因為這些數據是可以隨時隨地被訪問的，而不會被保存到容易丟失或者偷竊的USB存儲設備或者CD，根據Google應用程序安全主管Eran Feigenbaum表示，Google的安全漏洞修復計劃比一般企業(yè)的安全更新要更加有條理，因為Google的服務器結構很均勻?！昂芏喙舻陌l(fā)生都是因為企業(yè)缺乏安全漏洞管理和服務器的錯誤配置，對于我們而言，當新的安全補丁發(fā)布時，我們可以迅速對整個平臺進行統(tǒng)一修復。”

SaaS和其他云供應商則具有更加整體的觀點，Feigenbaum在4月份的RSA會議的云安全會議小組中表示，“對于企業(yè)而言，只能看到對企業(yè)造成威脅的一小方面。云供應商可以從更全面的角度來看待整體經濟規(guī)模，云可以改變安全局勢，也有能力提供更好的安全?！?/P>

但是這并不意味著企業(yè)可以盲目地相信云服務供應商，雖然較大型供應商可能能夠提供更好的服務，Forrester研究機構的Wang表示，“云服務供應商是從更加復雜的水平來處理安全問題的，而不像企業(yè)IT團隊一樣， 只關注每天的需求。盲目的認為云安全提供的安全性不高或者存在更多問題都是不正確的。”

到目前為止，安全問題是云服務廣泛部署的主要障礙，Sun公司的云計算首席管理官Michelle Denndy表示，“對云服務缺乏信任一直是阻止云服務廣泛應用的因素，而不是云服務的技術能力，但是很多情況下，云服務比企業(yè)環(huán)境都更加安全。

錯誤2：沒有對云服務供應商的安全性進行核實、測試或者審計

當你在選擇服務供應商的時候，不要輕易就對供應商的安全性下結論，要對供應商如何保護你的數據以及供應商基礎設施的安全性進行核實?！拜p易相信供應商是不行的，你必須對云服務供應商的安全性進行核實、測試或者雇傭第三方對其進行審計，”惠普軟件和解決方案安全工程師Dennis Hurst表示。

但是測試供應商的安全性也不是那么簡單。并不是所有云服務公司對于自己的安全策略和規(guī)定都能夠講清楚，通常不能進行很好的溝通。“還有些不清楚數據中心云是如何被保護的，”VMWare公司的云解決方案主管Jian Zhen在最近的RSA會議上表示，“云服務供應商需要更好的解釋云計算，讓用戶感覺舒服，并不是因為云服務供應商沒有更好的安全性，而是因為不是那么透明?！?/P>

惠普公司的Hurst表示，要確保你的云服務供應商是以安全的方式隔離各個系統(tǒng)的，“企業(yè)并沒有核查他們的系統(tǒng)和數據是否被分隔開來，他們只是確認虛擬機被分隔了，但是他們的應用程序可能在同時運行100個其他虛擬機的服務器上運行，并且供應商可能不會進行適當的隔離，或者IP地址不會被防火墻阻止?！?/P>

雇傭可信任的第三方驗證云供應商的安全性，或者與供應商商量讓你對其進行在線測試和驗證，他表示，“供應商應該將他們如何分隔客戶們的系統(tǒng)付諸文檔形式，這樣就比較容易讓用戶驗證。”要確認虛擬機是否受到保護，你可以在環(huán)境外運行端口掃描來確認你不能進入其他客戶的機器。

云服務供應商對于其安全和隱私的明確度可以判斷供應商的安全性，“如果他們對于他們的安全能力很自信的話，那么相對來說，是比較安全的，”Forrester的Wang表示，“反之，如果供應商不太愿意談論安全問題，那就要考慮別家供應商了?！?/P>

在過去幾年，Google就已經開始提供關于SaaS安全性的詳細信息，包括白皮書等，Feigenbaum表示，“也許不是在我們網站的首頁，可能用戶需要簽署NDA或者其他要求，這樣也是為了保持安全性與可見性之間的平衡。”

與此同時，云計算也提供了一種從數據方到云服務外建立安全的機會，Sun公司的Dennedy指出，“這應該是互聯(lián)網所需要做的，”她表示，“現在我們需要選擇最好的安全技術，并將這些技術部署到安全的云服務產品中?！?/P>

錯誤3：沒有對云服務供應商的業(yè)務可靠性進行審查

第三個誤區(qū)就是，在確認云服務供應商的業(yè)務可靠性前就完全信任供應商，“如果你的供應商明天突然消失的話，你能夠做什么?”Hurst表示，曾經就發(fā)生過這樣的案例，位于美國德克薩斯州的某家供應商就因為涉嫌非法活動，FBI突然查抄了這家公司并且沒收了數據中心和計算機?！爸挥幸慌_電腦用于非法目的，結果其他電腦也被沒收了，”讓客戶蒙受了很大的損失。因此，用戶們應該做好這方面的打算，最好將所有能夠確保業(yè)務正常運行的內容拷貝一份，以防云服務供應商突然停止提供服務。

另外，你還需要確定云服務供應商是否有災難備份計劃，這對于較小型云服務供應商來說是挑戰(zhàn)。

慶幸的是：我們很少聽說云服務供應商突然停止提供服務的消息，而更可能出現的問題是與安全做法相關的問題。

而且到目前為止，企業(yè)們還只是將一些不是很關鍵的應用程序(如電子郵件程序)交給云服務供應商，這樣云服務對其他企業(yè)應用程序可能帶來的風險比較小。

錯誤4：認為數據交給云服務供應商后就高枕無憂了

不要認為將應用程序或者系統(tǒng)外包出去就意味著你完全不用對數據泄漏負責了，這也是很多中小企業(yè)持有的錯誤觀點。將對數據的保護交付給云服務供應商并不意味著，當發(fā)生數據泄漏的時候，你就完全沒有責任。

“最終，企業(yè)需要對數據泄漏負責，企業(yè)首席執(zhí)行官可能受到裁決，而不是云服務供應商，”VMWare的Zhen在RSA會議上指出。

高度管制的企業(yè)通常能夠很快意識到這一點，Forrester的Wang表示：“作為數據的所有者總是要對客戶的數據負責任的。”

惠普公司的Hurst就表示他曾遇到過這樣的事情，讓云服務供應商受到攻擊時，企業(yè)仍然需要負部分責任。他的前雇主將企業(yè)的醫(yī)療保險信息外包給了一家海外供應商，“當云服務供應商受到攻擊時，公司仍然不得不承認他們丟失了數據，而且需要支付欺詐檢測服務的費用?！?/P>

也就是說，當你將某個業(yè)務功能托付給第三方處理時，你并沒有擺脫你的責任。

錯誤5：將不安全的應用程序放入云中希望以此能讓不安全程序變安全

The key is properly preparing your applications and data for the transition, she says. 將有缺陷的舊IT系統(tǒng)和充滿漏洞的應用程序交付給云服務供應商處理并不能自動讓這些系統(tǒng)變得安全，“沒有供應商會為你修復系統(tǒng)或程序的，”Sun公司的Dennedy表示，“不要幻想你扔給別人的垃圾會自動變成好東西?！?/P>

只有選擇正確的供應商、外包合適的應用程序以及部署正確的規(guī)劃，云計算才能夠為企業(yè)提供更好的安全性和管理，但是對于那些沒有適當控制的企業(yè)，這將是個很大的挑戰(zhàn)。

“安全企業(yè)通常對于他們的架構都沒有進行控制，”Zscaler的安全研究副總裁Michael Sutton，他還指出Gartner研究結果表明，60%的企業(yè)仍然在使用漏洞百出的IE6瀏覽器，這個結果太讓人大跌眼鏡了。

雖然說，不安全的應用程序在云服務供應商那里可以獲得更好的保護，因為較少訪問企業(yè)數據中心，但是說到底，不安全的漏洞應用程序仍然是一個隱患，“畢竟是不安全的應用程序，任何它訪問過的數據都可能被盜竊，”他表示，“如果攻擊者攻擊了這個應用程序并且用它來發(fā)動僵尸網絡，而又無法控制該程序，這樣是很危險的?！?/P>

錯誤6：不知道企業(yè)業(yè)務部門已經開始使用某些云服務了

大家都知道IT安全通常都被認為是技術和業(yè)務運營的障礙物，而不是推動器。這種觀念有時候會導致業(yè)務部門完全與安全脫節(jié)，你會突然發(fā)現，某一天業(yè)務部門與云供應商洽談的業(yè)務，而完全沒有考慮安全問題。

關鍵在于要防止企業(yè)內部在完全不考慮安全問題的前提下，與云服務供應商簽署合同。企業(yè)可能制訂了安全政策來定義云計算，以及圍繞云計算的安全指導，但是如果這些安全措施不是嚴格強制執(zhí)行的話，對除安全部門以外的部門將其不到任何作用。

Forrester'研究機構的Wang表示，IT部門很多時候都不知道企業(yè)內部其實已經在使用云計算服務。應該盡早的讓安全部門參與進來，如果安全團隊能夠在評估和審核過程就參與進來，就能夠確定企業(yè)的云服務安全需求， 這樣企業(yè)就能夠放心將系統(tǒng)程序交給云服務，專心進行業(yè)務。

當然，這也需要對業(yè)務方面的更多了解，而不只是技術方面。

【編輯推薦】

1. Web云安全技術應用篇
2. 云安全云計算迷團大揭幕