全球服務(wù)公司安永（Ernst & Young）近日表示，公司對(duì)云計(jì)算的投入應(yīng)用將會(huì)面臨三大風(fēng)險(xiǎn)，它們分別是：數(shù)據(jù)泄漏、數(shù)據(jù)丟失和未經(jīng)授權(quán)的數(shù)據(jù)訪問。

將數(shù)據(jù)存放至云環(huán)境中的時(shí)候，IT技術(shù)人員應(yīng)該時(shí)刻警醒這三大安全風(fēng)險(xiǎn)。在IDC主持召開的2011商業(yè)云會(huì)議上，安永公司高級(jí)經(jīng)理Pieter Danhieux如是表示，云服務(wù)提供商通常談?wù)撟疃嗟氖菙U(kuò)展性、可用性和成本、效率以及效益，他們并沒有把云安全視為一種商業(yè)運(yùn)營(yíng)而加以推動(dòng)。

根據(jù)Danhieux觀點(diǎn)，數(shù)據(jù)泄漏應(yīng)該是IT管理者和CIO們最需要關(guān)注的問題，因?yàn)樵朴?jì)算需要使用虛擬化，而虛擬化又離不開虛擬系統(tǒng)和hypervisor。

“存在這種風(fēng)險(xiǎn)的原因之一是，假設(shè)你想刪除一些不相關(guān)的數(shù)據(jù)信息，通過hypervisor輸入命令進(jìn)行刪除操作……只要稍微懂一點(diǎn)IT基礎(chǔ)知識(shí)的人都知道，從磁盤上刪除數(shù)據(jù)，事實(shí)上這些數(shù)據(jù)并不會(huì)真正被刪掉，因?yàn)槟闼鶆h除的僅僅是磁盤某個(gè)位置上的index，而數(shù)據(jù)本身還在那里，”Danhieux說道。

“還可能發(fā)生的是，如果是在同一臺(tái)虛擬機(jī)或者物理設(shè)備上操作，你還需要向hypervisor發(fā)起操作請(qǐng)求，而在這一過程中你還可以在系統(tǒng)之外對(duì)數(shù)據(jù)進(jìn)行訪問。”

“對(duì)于網(wǎng)絡(luò)接口來說也同樣如此，比如當(dāng)你的通信助理工具在世界范圍內(nèi)跨平臺(tái)運(yùn)行，它也需要通過hypervisor和網(wǎng)絡(luò)接口來實(shí)現(xiàn)數(shù)據(jù)傳輸。此時(shí)的問題是，即使權(quán)限在本地系統(tǒng)的hypervisor上沒有獲得正確指派，你也照樣可以通過網(wǎng)絡(luò)接口進(jìn)行網(wǎng)絡(luò)通信，并可以察看到通過網(wǎng)絡(luò)接口的一切信息。”Danhieux還表示，雖然實(shí)現(xiàn)這些目的需要一些技術(shù)含量，但是已經(jīng)有人證明這種方式完全可以實(shí)現(xiàn)。

第二大安全風(fēng)險(xiǎn)當(dāng)屬數(shù)據(jù)丟失。當(dāng)使用云服務(wù)的時(shí)候，用戶并不知道信息被存放在何處、或者在什么地方處理數(shù)據(jù)。在這樣的情況下，機(jī)構(gòu)投資者在面臨對(duì)云進(jìn)行投資時(shí)就會(huì)產(chǎn)生很多疑慮。

“當(dāng)你把數(shù)據(jù)存放在云環(huán)境中的時(shí)候，你需要知道以下問題：首先，我能將數(shù)據(jù)存放在澳洲以外嗎？”Danhieux說道，“私人數(shù)據(jù)和航班信息數(shù)據(jù)通常不能存放在本土以外的區(qū)域，為此你還需要了解相關(guān)的法律問題”

“另外一個(gè)問題就是，如果我丟失了數(shù)據(jù)怎么辦？它會(huì)對(duì)我的工作業(yè)務(wù)產(chǎn)生什么樣的影響？我可以進(jìn)行備份嗎？在正式步入云殿堂的時(shí)候你需要問自己這些問題。”

另外一個(gè)安全風(fēng)險(xiǎn)就是，未經(jīng)授權(quán)的數(shù)據(jù)訪問。雖然選擇了基于本土的云服務(wù)提供商，但是一旦你將數(shù)據(jù)存放到云環(huán)境中，你也并不知道這些數(shù)據(jù)會(huì)被存儲(chǔ)到什么位置。

“當(dāng)你把數(shù)據(jù)移入云中的時(shí)候，你并不能看到數(shù)據(jù)傳向俄羅斯、巴西等這些保護(hù)私人信息不太有力的國(guó)家的整個(gè)過程。”這將是一個(gè)巨大的潛在風(fēng)險(xiǎn)。“你不要誤以為自己公司的數(shù)據(jù)對(duì)他人沒有用處，因?yàn)檫@些信息可能被你的競(jìng)爭(zhēng)對(duì)手捕獲到并加以非法利用，甚至對(duì)某些政府來說它們都具有利用價(jià)值。”

Danhieux接著補(bǔ)充，“對(duì)于企業(yè)來說，當(dāng)應(yīng)用云計(jì)算的時(shí)候，首先需要問自己存放哪類數(shù)據(jù)到云環(huán)境里面。因?yàn)槿绻承?shù)據(jù)是無關(guān)緊要的話，那么你完全可以將它們移入到云環(huán)境中而無需過多擔(dān)心安全問題；而如果想存放諸如交易信息等機(jī)密數(shù)據(jù)的話，你需要徹底調(diào)查了解你所選擇的云服務(wù)提供商能否提供最好的安全保護(hù)。”

“其次，你需要知道這些信息對(duì)于企業(yè)和政府的重要性。如果包含跨區(qū)域性的數(shù)據(jù)傳輸，那你還需要明白是否可以設(shè)立某些限制條款。”

最后，Danhieux還表示，“壞人”也會(huì)使用云計(jì)算，因?yàn)檫@一技術(shù)將可以幫助他們以更便捷的方式獲取賬戶和密碼。
 

【編輯推薦】

1. 亡羊補(bǔ)牢行不通 基礎(chǔ)設(shè)施安全要與私有云建設(shè)動(dòng)態(tài)適應(yīng)
2. 云中數(shù)據(jù)備份方案的關(guān)鍵：安全和性能
3. 云計(jì)算和智能手機(jī)成2011年安全最大威脅 
4. 一位IaaS提供商自述：我怎樣保障你在云中數(shù)據(jù)的安全
5. 專家解讀：小規(guī)模云的四大安全選擇標(biāo)準(zhǔn)