安全專家表示，選擇云計算的企業(yè)可能熟悉多重租賃(multi-tenancy，多個公司將其數據和業(yè)務流程托管存放在SaaS服務商的同一服務器組上)和虛擬化等概念，但這并不表示他們完全了解云計算的安全情況。云安全聯(lián)盟(CSA)執(zhí)行董事Jim Reavis認為，云計算其實就是將各種技術集中在一起創(chuàng)造出一種具有獨特管理制度的應用程序。

這是計算機時代的新篇章，雖然這一切聽起來很熟悉，但只要深入了解就會發(fā)現(xiàn)不同之處。

企業(yè)運用云計算的速度通常都讓安全專家感到驚訝，安全專家Reavis認為，企業(yè)應該采取更加務實的做法，例如采用風險評估來了解真正的風險以及如何降低風險，然后再決定是否應該部署云計算技術。

云安全聯(lián)盟與惠普公司共同列出了云計算的七宗罪，主要是基于對29家企業(yè)、技術供應商和咨詢公司的調查結果而得出的結論。

1. 數據丟失/泄漏：

云計算中對數據的安全控制力度并不是十分理想，API訪問權限控制以及密鑰生成、存儲和管理方面的不足都可能造成數據泄漏，并且還可能缺乏必要的數據銷毀政策。

2. 共享技術漏洞：

在云計算中，簡單的錯誤配置都可能造成嚴重影響，因為云計算環(huán)境中的很多虛擬服務器共享著相同的配置，因此必須為網絡和服務器配置執(zhí)行服務水平協(xié)議(SLA)以確保及時安裝修復程序以及實施最佳做法。

3. 內奸：

云計算服務供應商對工作人員的背景調查力度可能與企業(yè)數據訪問權限的控制力度有所不同，很多供應商在這方面做得還不錯，但并不夠，企業(yè)需要對供應商進行評估并提出如何篩選員工的方案。

4. 帳戶、服務和通信劫持：

很多數據、應用程序和資源都集中在云計算中，而云計算的身份驗證機制如果很薄弱的話，入侵者就可以輕松獲取用戶帳號并登陸客戶的虛擬機，因此建議主動監(jiān)控這種威脅，并采用雙因素身份驗證機制。

5.不安全的應用程序接口：

在開發(fā)應用程序方面，企業(yè)必須將云計算看作是新的平臺，而不是外包。在應用程序的生命周期中，必須部署嚴格的審核過程，開發(fā)者可以運用某些準則來處理身份驗證、訪問權限控制和加密。

6. 沒有正確運用云計算：

在運用技術方面，黑客可能比技術人員進步更快，黑客通常能夠迅速部署新的攻擊技術在云計算中自由穿行。

7.未知的風險：

透明度問題一直困擾著云服務供應商，帳戶用戶僅使用前端界面，他們不知道他們的供應商使用的是哪種平臺或者修復水平。

云服務供應商惠普公司的首席技術官Archie Reed認為，上述的云計算七宗罪雖然并不全面，但是都是非常重要的，它們能夠指引大家如何正確運用云計算。

七宗罪說明了云安全狀況變化非常快，安全技術人員必須了解影響他們工作的種種因素，包括政府法律和行業(yè)標準等，并且他們應該清楚這些因素是否被正確運用到風險評估方法中，評估方法是否定期修改。

毫無疑問的是，云計算確實給我們帶來新的契機，但是這種新技術也意味著供應商的解決方案和技術也不斷在發(fā)展。

雖然企業(yè)可以信任云計算，但是并不能將所有責任都交付給云計算，企業(yè)必須對云計算中的數據或者程序進行必要的管理。

【編輯推薦】

1. 安全第一 尋找云計算的“拆彈部隊”
2. 不可忽視的云計算四大安全隱患
3. 云存儲可能讓您的數據“赤裸示人”