預(yù)計(jì)從2011年到2016年，軟件即服務(wù)(SaaS)的復(fù)合年增長(zhǎng)率是19.5%;而平臺(tái)即服務(wù)(PaaS)的復(fù)合年增長(zhǎng)率是27.7%;基礎(chǔ)設(shè)施即服務(wù)(IaaS)則為41.3%;安全服務(wù)支出為22%。

然而，安全和隱私問(wèn)題仍然是妨礙許多企業(yè)采用云服務(wù)最大的絆腳石，這甚至在過(guò)去的18個(gè)月，導(dǎo)致了了云加密系統(tǒng)的蓬勃興起。

雖然加密對(duì)于采用云服務(wù)的安全方面是相當(dāng)重要的，但它不應(yīng)該被看作是“護(hù)身符”，Gartner在最近的研究報(bào)告中強(qiáng)調(diào)。

分析人士建議，企業(yè)應(yīng)首先建立一套涉及到六大安全問(wèn)題的數(shù)據(jù)安全計(jì)劃。他們表示，如果不這樣做，可能會(huì)增加企業(yè)采用云計(jì)算的成本和復(fù)雜性，同時(shí)也不利于長(zhǎng)期保護(hù)數(shù)據(jù)隱私，解決好安全性和彈性方面的基本問(wèn)題。他們警告稱，著急上馬實(shí)施的加密系統(tǒng)，甚至還可能干擾一些基于云的服務(wù)的正常運(yùn)作。

亟待解決的六大安全問(wèn)題分別是：

· 違反通知和數(shù)據(jù)駐留

· 休眠時(shí)期的數(shù)據(jù)管理

· 運(yùn)行過(guò)程中的數(shù)據(jù)保護(hù)

· 加密密鑰管理

· 訪問(wèn)權(quán)限控制

· 長(zhǎng)期彈性的加密系統(tǒng)

違反通知和數(shù)據(jù)駐留

并非所有的數(shù)據(jù)都需要同等的保護(hù)級(jí)別，因此，企業(yè)應(yīng)該對(duì)云存儲(chǔ)的數(shù)據(jù)進(jìn)行分類，在數(shù)據(jù)違反通知或如果數(shù)據(jù)不得存放在其他司法管轄區(qū)時(shí)的識(shí)別有關(guān)的合規(guī)性要求。

Gartner還建議，企業(yè)應(yīng)該設(shè)立一套企業(yè)數(shù)據(jù)安全計(jì)劃，從政府執(zhí)法部門的角度確定業(yè)務(wù)管理訪問(wèn)流程。該計(jì)劃應(yīng)充分考慮到利益相關(guān)者，如從法律、合同、經(jīng)營(yíng)單位、安全和IT等諸多方面進(jìn)行考慮。

休眠時(shí)期的數(shù)據(jù)管理

企業(yè)應(yīng)該詢問(wèn)具體的問(wèn)題，以確定云服務(wù)提供商存儲(chǔ)數(shù)據(jù)的生命周期和安全政策。

企業(yè)應(yīng)該搞清楚的問(wèn)題包括：

· 如果是使用的多租戶存儲(chǔ)模式，搞清楚住戶之間采用的是什么分離機(jī)理。

· 諸如標(biāo)簽之類的機(jī)制是用來(lái)防止數(shù)據(jù)被復(fù)制到特定的國(guó)家或地區(qū)。

· 用于歸檔和備份的存儲(chǔ)是加密的，確保密鑰管理策略包括一套強(qiáng)有力的身份識(shí)別和訪問(wèn)管理政策，限制在一定的司法管轄區(qū)內(nèi)。

Gartner建議企業(yè)通過(guò)使用刪除密鑰以切碎數(shù)字?jǐn)?shù)據(jù)信息，來(lái)實(shí)現(xiàn)壽命結(jié)束的加密戰(zhàn)略，同時(shí)確保密鑰沒(méi)有妥協(xié)或被復(fù)制。

運(yùn)行過(guò)程中的數(shù)據(jù)保護(hù)

Gartner建議，作為最低要求，企業(yè)至少要確保云服務(wù)提供商將支持安全通信協(xié)議，如SSL/TLS瀏覽器訪問(wèn)或基于VPN連接的訪問(wèn)以保護(hù)他們的服務(wù)系統(tǒng)。

研究報(bào)告稱，企業(yè)總是加密在云中運(yùn)行的敏感數(shù)據(jù)。但如果數(shù)據(jù)是未加密的，同時(shí)正在被使用或儲(chǔ)存，減輕或使得企業(yè)免遭數(shù)據(jù)破壞將是義不容辭的責(zé)任。

Gartner建議，在IaaS中，企業(yè)青睞云服務(wù)提供商提供網(wǎng)絡(luò)租戶之間的分離，使一個(gè)租戶不能看到其他租戶的網(wǎng)絡(luò)流量。

加密密鑰管理

Gartner表示，企業(yè)應(yīng)始終瞄準(zhǔn)管理加密密鑰。但如果這是由一個(gè)云加密供應(yīng)商所提供的，他們必須確保訪問(wèn)管理控制到位，滿足違反通知要求和數(shù)據(jù)駐留。

如果密鑰由云服務(wù)提供商管理，那么企業(yè)應(yīng)該要求基于硬件的密鑰管理系統(tǒng)是在嚴(yán)格定義和管理的關(guān)鍵管理流程范圍內(nèi)。

Gartner表示，當(dāng)密鑰是在云中管理，當(dāng)務(wù)之急是供應(yīng)商提供嚴(yán)密的控制和現(xiàn)場(chǎng)負(fù)載監(jiān)控，以防止?jié)撛诘目煺辗治霁@得密鑰的風(fēng)險(xiǎn)。

訪問(wèn)權(quán)限控制

Gartner建議企業(yè)要求云服務(wù)提供商支持IP子網(wǎng)訪問(wèn)限制政策，使企業(yè)可以限制已知的IP地址范圍和設(shè)備的最終用戶訪問(wèn)。

企業(yè)應(yīng)該要求加密提供者提供足夠的用戶訪問(wèn)和管理控制，更強(qiáng)的身份驗(yàn)證，如雙因素身份驗(yàn)證、訪問(wèn)權(quán)限管理、以及分離安全管理職責(zé)，例如安全性、網(wǎng)絡(luò)和維護(hù)。

企業(yè)還應(yīng)該要求：

· 對(duì)所有訪問(wèn)云資源的用戶和管理員進(jìn)行記錄，并以適當(dāng)?shù)母袷教峁┙o企業(yè)管理日志或安全信息和事件管理系統(tǒng)。

· 云服務(wù)提供商限制訪問(wèn)敏感系統(tǒng)管理工具可能帶來(lái)的“快照”現(xiàn)場(chǎng)工作負(fù)載，進(jìn)行數(shù)據(jù)遷移，數(shù)據(jù)備份或恢復(fù)數(shù)據(jù)。

· 遷移或快照工具捕獲的圖像與其它敏感的企業(yè)數(shù)據(jù)享有相同的安全處理標(biāo)準(zhǔn)。

長(zhǎng)期彈性的加密系統(tǒng)

Gartner建議企業(yè)需要了解應(yīng)用程序和數(shù)據(jù)庫(kù)索引、搜索和排序的影響。他們應(yīng)該特別注意先進(jìn)的搜索功能，如子串匹配的功能和通配符，如“包含”或“以…結(jié)束”。

加密供應(yīng)商是否提供諸如“功能保存加密”的選項(xiàng)。例如，保存排序規(guī)則，要求使用規(guī)范和批準(zhǔn)的算法，或可能削弱獨(dú)立認(rèn)證加密。