云計算成為了企業(yè)中負(fù)責(zé)業(yè)務(wù)的高管們紛紛投奔的對象，并通過對IT基礎(chǔ)設(shè)施管理進(jìn)行外包來削減成本。經(jīng)濟(jì)衰退已經(jīng)迫使許多公司開始考慮基于云的服務(wù)，如Amazon的EC2應(yīng)用服務(wù)以及微軟的Azure云計算平臺。

云安全聯(lián)盟和惠普公司最近的一份報告指出了云計算存在的七大風(fēng)險，其中包括黑客滲透到云計算平臺并使用云基礎(chǔ)設(shè)施來攻擊其他機(jī)器、不安全應(yīng)用程序接口(API)導(dǎo)致漏洞出現(xiàn)和數(shù)據(jù)泄漏等。

IT職業(yè)人員(尤其是ISACA的成員)不應(yīng)該對這個調(diào)查結(jié)果感到驚奇，而是應(yīng)該采取謹(jǐn)慎的態(tài)度來對待云計算這項新技術(shù)，并仔細(xì)評估它的風(fēng)險。

一個良好的培訓(xùn)制度以及過程自動化使得風(fēng)險成為一件值得考慮的事情，你甚至也可以讓風(fēng)險變得可以接受”，他說，“如果你極其反對風(fēng)險的話，那么你的業(yè)務(wù)也永遠(yuǎn)不可能得到發(fā)展。

受訪者沒有被問及哪些云服務(wù)是他們最擔(dān)心的。調(diào)查發(fā)現(xiàn)，大多數(shù)任務(wù)優(yōu)先(mission-critical)的IT服務(wù)還繼續(xù)被保留在企業(yè)中。只有10%的受訪者所在公司打算把任務(wù)優(yōu)先服務(wù)轉(zhuǎn)向云計算，而近四分之一(26%)的企業(yè)根本就沒有打算把云計算應(yīng)用到IT服務(wù)中去。

對于任務(wù)優(yōu)先數(shù)據(jù)來說，這只不過是萬里長征的第一步。從一個公司高層管理人員的角度來看，云是非常有效的，所以不管IT部門想不想要云，企業(yè)最終都會轉(zhuǎn)向云。監(jiān)管規(guī)則和標(biāo)準(zhǔn)阻礙了云的應(yīng)用，規(guī)則遵從是主要的障礙之一，它導(dǎo)致企業(yè)放慢了向許多云項目轉(zhuǎn)移的速度。近30%的受訪者表示，對于與IT風(fēng)險相關(guān)的項目來說，規(guī)則遵從項目是最大的驅(qū)動力。

大約有半數(shù)的受訪者表示，在2010年與IT風(fēng)險以及規(guī)則遵從相關(guān)的項目，其投資額跟2009年的變化不大。在任何公共云里實(shí)現(xiàn)規(guī)則遵從都不是一件簡單的事情。

人們知道，任何類型的電腦連接都會有風(fēng)險，但是規(guī)則遵從正好成為人們?yōu)樾枰O(jiān)管的服務(wù)采用更多云服務(wù)的主要障礙。如果你被黑客攻擊了，你可以讓審計人員負(fù)責(zé);但是，如果你在云計算中被黑客攻擊了，你沒法再讓審計人員當(dāng)替罪羊了，那么你自己可能會被炒魷魚。

ISACA的此次調(diào)查是一個令人鼓舞的跡象，因?yàn)檫@顯示出從事風(fēng)險策略的IT職業(yè)人員正在努力找尋解決問題的方法，而不是去逃避這些風(fēng)險。他們的許多顧慮也會隨著時間的推移而煙消云散。但他也表示，就目前來看，人們還是缺少對云計算的理解，有備案的使用案例也很缺乏。

云安全聯(lián)盟的標(biāo)準(zhǔn)工作組正在把跟云有關(guān)的風(fēng)險與各種各樣的標(biāo)準(zhǔn)和監(jiān)管規(guī)則聯(lián)系起來。比如，工作組已經(jīng)跟PCI安全標(biāo)準(zhǔn)委員會合作，并開發(fā)了一個框架 —— 一個云控制矩陣—— 以便根據(jù)企業(yè)必須遵守的控制標(biāo)準(zhǔn)制定出一套對應(yīng)的云服務(wù)提供商控制標(biāo)準(zhǔn)。

【編輯推薦】

1. Web云安全技術(shù)應(yīng)用
2. 當(dāng)內(nèi)網(wǎng)安全遇上云安全
3. 部署云安全如何提升企業(yè)網(wǎng)絡(luò)安全性