根據(jù)最新的威脅報(bào)告稱，對(duì)于大多數(shù)企業(yè)而言，在2013年部署云服務(wù)將會(huì)引發(fā)新的問(wèn)題，這些問(wèn)題主要圍繞數(shù)據(jù)連續(xù)性、數(shù)據(jù)安全性和可靠性。

安全公司Sophos的2013年威脅報(bào)告警告稱，企業(yè)在部署云服務(wù)時(shí)，將面臨新的數(shù)據(jù)安全風(fēng)險(xiǎn)。企業(yè)應(yīng)該在合同談判階段就解決這些風(fēng)險(xiǎn)，也就是在數(shù)據(jù)轉(zhuǎn)移到服務(wù)供應(yīng)商的大規(guī)模數(shù)據(jù)中心之前。該安全公司高級(jí)安全顧問(wèn)Chester Wisniewski表示，在某些情況下，云服務(wù)增加了企業(yè)的攻擊面，并且，削弱了已有的安全控制和政策。

Wisniewski表示：“企業(yè)應(yīng)該多花時(shí)間與律師溝通，以確保企業(yè)的所有需求都得到滿足，同時(shí)，確保合同中明確列出企業(yè)的所有要求，這樣，當(dāng)發(fā)生事故時(shí)，雙方都知道自己的責(zé)任所在。”他表示，企業(yè)在部署云服務(wù)時(shí)需要考慮三個(gè)問(wèn)題。

1.如何防止信息泄露？

Dropbox等服務(wù)使員工能夠輕松地存儲(chǔ)和共享包含企業(yè)數(shù)據(jù)的文檔。最初企業(yè)試圖“鎮(zhèn)壓”第三方服務(wù)（例如Dropbox），但現(xiàn)在企業(yè)開始接受這些服務(wù)，同時(shí)添加了控制（例如加密）以確保敏感數(shù)據(jù)不會(huì)落入壞人手中。Wisniewski表示，企業(yè)應(yīng)該正確部署數(shù)據(jù)保護(hù)安全技術(shù)，并使用戶的操作簡(jiǎn)單，他表示，“你需要確保數(shù)據(jù)在上傳到云端前是安全的。”

Wisniewski認(rèn)為，基于云計(jì)算的服務(wù)能夠增強(qiáng)企業(yè)原本“支離破碎的”數(shù)據(jù)安全辦法。企業(yè)可以通過(guò)多種方法部署安全控制，確保員工能安全地使用移動(dòng)設(shè)備訪問(wèn)數(shù)據(jù)或者遠(yuǎn)程進(jìn)入云中系統(tǒng)。一款蘋果iPad應(yīng)用可以提供加密和解密功能以多一層保護(hù)，通過(guò)這種應(yīng)用，他表示：“財(cái)務(wù)、銷售和營(yíng)銷人員不必具備高超的加密技術(shù)就可以保護(hù)數(shù)據(jù)。”

2.在合同要求中，是否規(guī)定云供應(yīng)商需要接受適當(dāng)?shù)膶彶?，是否明確了安全標(biāo)準(zhǔn)？

有針對(duì)性的攻擊者已經(jīng)了解到，業(yè)務(wù)合作伙伴（通常是服務(wù)于大型企業(yè)的小企業(yè)）是進(jìn)入大型企業(yè)網(wǎng)絡(luò)的“突破口”。 Wisniewski表示，航空航天和國(guó)防行業(yè)的零部件制造商、運(yùn)輸商和供應(yīng)商都可能被攻擊者利用。“網(wǎng)絡(luò)罪犯已經(jīng)意識(shí)到，大型企業(yè)的業(yè)務(wù)合作伙伴通常都是小公司，他們的安全防線松懈，但仍然是大型企業(yè)受信任的實(shí)體，這已經(jīng)成為一個(gè)真正的問(wèn)題。”

合同中應(yīng)該明確企業(yè)可以檢查第三方的系統(tǒng)是否已經(jīng)經(jīng)過(guò)審查，以及是否具有適當(dāng)?shù)陌踩刂?。云供?yīng)商應(yīng)該提供證據(jù)證明他們符合安全標(biāo)準(zhǔn)，并提供一種機(jī)制允許企業(yè)進(jìn)行獨(dú)立測(cè)試。Wisniewski表示：“有些企業(yè)在信用卡泄露事故的數(shù)月內(nèi)才進(jìn)行PCI評(píng)估，最后的結(jié)果顯示合規(guī)性沒(méi)有得到應(yīng)有的重視。”

數(shù)據(jù)保留、故障轉(zhuǎn)移、事件響應(yīng)程序、系統(tǒng)監(jiān)控和維護(hù)都應(yīng)該在合同協(xié)議中進(jìn)行明確地規(guī)定，以確保當(dāng)企業(yè)與云服務(wù)供應(yīng)商的關(guān)系有變化時(shí)，企業(yè)有辦法取出數(shù)據(jù)，并轉(zhuǎn)移到另一個(gè)供應(yīng)商處。

“如果你有些偏執(zhí)，無(wú)法與供應(yīng)商達(dá)成一致的協(xié)議以按照你的標(biāo)準(zhǔn)保護(hù)數(shù)據(jù)，那么，你將需要運(yùn)行自己的數(shù)據(jù)中心，”Wisniewski表示，“使用云計(jì)算服務(wù)的部分代價(jià)在于它是廣泛分布式的，你不知道你的數(shù)據(jù)將在什么位置。有些數(shù)據(jù)可能受到合同的控制，但其他部分根本不在你的控制范圍內(nèi)，在很多情況下，可能有人彈出服務(wù)器的硬盤而取走你的數(shù)據(jù)。”

3.你能夠防止對(duì)虛擬服務(wù)器的快照（捕捉當(dāng)前運(yùn)行內(nèi)存鏡像——包括所有運(yùn)行中的加密密鑰）嗎？

很多企業(yè)不是使用公共云，而是使用虛擬機(jī)來(lái)在其數(shù)據(jù)中心內(nèi)建立私有云。Wisniewski說(shuō)道，這種方法被認(rèn)為是降低成本和提高效率的好辦法，但同時(shí)它也帶來(lái)數(shù)據(jù)安全性問(wèn)題。

專家稱，雖然安全研究人員已經(jīng)證實(shí)技術(shù)性很強(qiáng)的管理程序攻擊是可行的，但網(wǎng)絡(luò)罪犯使用這種復(fù)雜的攻擊的可能性很小。企業(yè)面對(duì)的問(wèn)題是，虛擬服務(wù)器內(nèi)的潛在的缺陷。配置錯(cuò)誤和糟糕的政策都可能被攻擊者利用來(lái)獲取對(duì)敏感數(shù)據(jù)的訪問(wèn)權(quán)限。例如，當(dāng)虛擬快照捕捉系統(tǒng)狀態(tài)（備份系統(tǒng)的常見方法）時(shí)，通常密碼和加密密鑰都在內(nèi)存中，因?yàn)樾枰盟鼈儊?lái)解密文件?？煺辗浅９?jié)省時(shí)間，也是一個(gè)很好的備份機(jī)制，但企業(yè)需要安全地存儲(chǔ)快照。他表示：“你需要將加密密鑰保存在內(nèi)存中，但你應(yīng)該在內(nèi)存中對(duì)加密密鑰進(jìn)行模糊化。”