據(jù)一名安全專家的預測，隨著越來越多的公司開始選擇將數(shù)據(jù)和應用從內部IT系統(tǒng)遷移到第三方提供的云服務上；因此，針對供應商基礎設施的攻擊也將變得“越來越嚴重”。專家認為這些威脅將促使相關人員就建立云標準的必要性展開討論。

云安全聯(lián)盟(CSA)常務董事吉姆·雷維斯宣稱，由于更多的企業(yè)開始選擇利用外包方式管理數(shù)據(jù)和應用，這種方式可能會受到黑客的注意，開始對云供應商的后臺基礎設施和平臺即服務(PaaS)系統(tǒng)進行攻擊。

這位高管稱：“我認為人們將會看到非常嚴重的事故，并且事情也將會變得非常有趣，原因就是，這些事故可能導致出現(xiàn)需要誰來承擔違約責任的討論”。雷維斯正在新加坡出席一場國際標準化組織關于云安全標準的會議，與此同時建立了CSA新加坡辦事處。

他指出，在這樣包含了政府官員和私營企業(yè)代表參與的云安全標準會議上，選擇最終將該架構加入到ISO標準之前，就“如何構建供應商和客戶可以控制的架構”進行討論是非常重要的。

雷維斯相信，由于企業(yè)遷移到云中的速度變得越來越快，建立安全標準已經(jīng)成為不可忽視的頭號問題。他進一步指出，尤其是虛擬化和云計算讓越來越多的數(shù)據(jù)和資產都集中到單獨的基礎設施上，帶來風險集中的問題需要被認識到。

他解釋說：“以虛擬化為例。我們知道針對虛擬機管理器的攻擊可能導致虛擬機出現(xiàn)躍動，這也就意味著很多客戶可能會受到影響。”

雷維斯強調了與各國政府以及國家監(jiān)管機構堅持交流的重要性，就象應對自然災害導致的后果，作為利益相關者，他們可以學習利用自己的系統(tǒng)或者供應商減輕網(wǎng)絡攻擊帶來的危害。

對數(shù)據(jù)隱私難題的求解

除了制定安全標準，雷維斯還非常關注現(xiàn)今可用數(shù)據(jù)位置隱私類法規(guī)的深化。他解釋說，這是因為目前缺乏“恰當有效的數(shù)據(jù)隱私類法律法規(guī)”。

雷維斯指出，目前不同地區(qū)針對如何保護敏感信息的安全存在著不同的觀點。舉例來說，位于歐洲聯(lián)盟的公司就不能將數(shù)據(jù)保存在區(qū)域之外的數(shù)據(jù)中心。

當然，雷維斯承認，通過采用建立“安全區(qū)域”的模式可以繞開這一問題。他解釋說，一種可行的方法就是“進行格式化加密處理，這樣的話軟件中的加密信息就可以按照軟件即服務(SaaS)模式，在不損害數(shù)據(jù)完整性的情況下，安置在任何位置”。不過，他進一步補充說，這些方法的效果“非常有限”。

從個人角度來看，雷維斯認為就更永久性的解決方案進行討論的“速度應該加快”，以便讓法律盡快確認這種情況，而CSA就正致力于加快與國家監(jiān)管機構之間的溝通速度。

就“幫助法律制定者和政府官員了解云模式是如何運作的，并解釋法律在技術的應用過程中依然得到了遵守，” 雷維斯進行了詳細的說明，他指出如果該做法獲得成功的話，不僅僅是受到高度管制行業(yè)中的公司可以獲得好處，云服務供應商也會因為潛在客戶群的擴大而受益。

雷維斯指出：“從經(jīng)濟學的角度來看，云服務供應商可以為超出國家范圍的客戶提供服務。如果希望成為區(qū)域或者全球供應商的話，來自司法管轄權方面的限制將會對獲得成功的概率帶來影響”。

這位CSA的高管預測，對于云行業(yè)來說，由于大量公司將看到云項目實施的結果情況，因此，接下來的18個月將是至關重要的。實際上，他已經(jīng)發(fā)現(xiàn)在過去三個月里，大型項目的“遷移速度變得非常迅速”。

雷維斯指出：“公司已經(jīng)相信云屬于未來發(fā)展的方向，現(xiàn)在的問題是如何進行具體部署”;“對于企業(yè)來說，盡管對數(shù)據(jù)應該按照何種比例分配到私有云和公共云中，還需要進行大量的討論，但至少他們已經(jīng)開始關注混合問題了”。

作為CSA的高管，雷維斯表達出受到當前高速發(fā)展趨勢的鼓舞，對接下來的一年半里云標準的建立讓整個行業(yè)變得“更加協(xié)調”的前景充滿了信心的觀點。