回顧即將過去的2013年，企業(yè)越來越多地開始使用云計(jì)算服務(wù)，但是云計(jì)算的安全問題仍然是企業(yè)部署這些服務(wù)的最大障礙。對(duì)于大多數(shù)行業(yè)而言，云服務(wù)已經(jīng)成為企業(yè)基礎(chǔ)設(shè)施的一部分，很多員工在沒有經(jīng)過IT部門批準(zhǔn)就已經(jīng)部署了云服務(wù)。例如云服務(wù)評(píng)估公司Skyhigh Networks增加了約500項(xiàng)云服務(wù)。

Skyhigh Networks首席執(zhí)行官兼聯(lián)合創(chuàng)始人Rajiv Gupta表示：“員工使用云服務(wù)幾乎沒有評(píng)估這些服務(wù)的風(fēng)險(xiǎn)。”出于這個(gè)原因，在2014年，安全要求將會(huì)成為企業(yè)的核心問題，近一半的IT經(jīng)理都關(guān)心其云資源的安全性，而35%的人認(rèn)為云安全要優(yōu)于企業(yè)內(nèi)部部署。其中一個(gè)原因是：很多云供應(yīng)商未能解決其客戶關(guān)心的問題。

安全服務(wù)供應(yīng)商Sage Data Security公司總裁Charles Burckmyer稱其客戶經(jīng)常通過他們?cè)u(píng)估第三方云服務(wù)的安全性。他表示，“客戶需要建立一個(gè)結(jié)構(gòu)化的方法來與云供應(yīng)商合作，并要有一個(gè)程序來創(chuàng)建被允許的例外情況、分配風(fēng)險(xiǎn)和緩解這種風(fēng)險(xiǎn)，對(duì)于大多數(shù)客戶而言，圍繞云服務(wù)的安全性是非常重要的。”

通過與其云供應(yīng)商進(jìn)行溝通，企業(yè)客戶可以創(chuàng)建一個(gè)安全的混合基礎(chǔ)設(shè)施。下面是企業(yè)應(yīng)該與云供應(yīng)商討論的五個(gè)問題：

1. 明確安全責(zé)任

云服務(wù)供應(yīng)商繼續(xù)將保護(hù)數(shù)據(jù)的責(zé)任放在客戶身上，而很多客戶認(rèn)為云服務(wù)應(yīng)該對(duì)數(shù)據(jù)承擔(dān)責(zé)任。與前幾年相比，在2013年，這種期望差距有所縮小，但根據(jù)Ponemon研究公司的調(diào)查顯示，超過三分之一的客戶仍然期望其軟件即服務(wù)供應(yīng)商保護(hù)應(yīng)用程序和數(shù)據(jù)的安全。只有8%的企業(yè)通過其信息技術(shù)和安全團(tuán)隊(duì)來評(píng)估應(yīng)用程序的安全性。

Sage Data Security的Burckmyer表示，雖然很多行業(yè)已經(jīng)轉(zhuǎn)移到云計(jì)算，但一些安全意識(shí)較強(qiáng)的行業(yè)和那些需要遵守法規(guī)的行業(yè)則止步不前，因?yàn)樵乒?yīng)商沒有明確其風(fēng)險(xiǎn)。

他表示，“云供應(yīng)商盡職調(diào)查、了解客戶的責(zé)任以及了解你的供應(yīng)商將如何支持你履行你的職責(zé)，都是非常必要的話題，從監(jiān)管和安全的角度來看，轉(zhuǎn)移到云計(jì)算的過程一直沒有很明確，因?yàn)楹芏喙?yīng)商做的還不夠。”

2.構(gòu)建能夠提供有意義日志數(shù)據(jù)的系統(tǒng)

越來越多的企業(yè)想要收集關(guān)于其數(shù)據(jù)和應(yīng)用程序在云中的安全信息。然而，很多云供應(yīng)商沒有提供詳細(xì)的日志文件，或者不能完全分離一個(gè)客戶與另一個(gè)客戶的事件信息。

“我們需要制定默認(rèn)的標(biāo)準(zhǔn)做法，即有一定量的日志信息可以主動(dòng)提供給所有需要追蹤的企業(yè)來進(jìn)行各種分析，”云安全聯(lián)盟首席執(zhí)行官Jim Reavis表示，“日志文件一直是癥結(jié)所在。”

對(duì)管理訪問日志保持審計(jì)是非常重要的，但大多數(shù)小型云服務(wù)沒有提供這種信息。

3. 加密應(yīng)該更普遍

企業(yè)不僅要求云中終端到終端加密，而且越來越多地要求云供應(yīng)商允許他們?cè)趯?shù)據(jù)轉(zhuǎn)移到云中前，在企業(yè)內(nèi)部加密數(shù)據(jù)。

云服務(wù)管理公司Netskope首席執(zhí)行官Sanjay Ber表示，云供應(yīng)商不僅要與客戶合作，而且要制定強(qiáng)大的加密解決方案，以讓企業(yè)確保其數(shù)據(jù)的安全性，同時(shí)允許保留一些功能。

Beri說，“作為應(yīng)用程序供應(yīng)商，加密應(yīng)該是他們可以比任何人都做得更好的事情，沒有人比他們更了解應(yīng)用程序，只要他們將密鑰交給第三方管理，很多客戶都會(huì)很高興。”

4. 通知用戶異常情況

如果攻擊者獲取了賬戶信息，加密將不足以保護(hù)客戶的數(shù)據(jù)。出于這個(gè)原因，云供應(yīng)商還必須部署良好的異常檢測(cè)系統(tǒng)，并與客戶共享這些系統(tǒng)的信息和審計(jì)記錄。Gupta表示：“你需要所有這些不同的工具來確保云供應(yīng)商滿足客戶的需求，這是一種分層的辦法。”

5. 如何保護(hù)從第三方的訪問

雖然云供應(yīng)商受到其所在國家以及數(shù)字所在國家的監(jiān)管，由美國國家安全局和其他國家情報(bào)局進(jìn)行的大量數(shù)據(jù)收集工作讓企業(yè)越來越多地開始詢問云供應(yīng)商，誰在請(qǐng)求數(shù)據(jù)、頻率如何，以及供應(yīng)商是否實(shí)現(xiàn)這些國家的請(qǐng)求等。

CSA的Reavis表示，“很顯然，供應(yīng)商需要讓客戶了解他們是如何管理和處理信息請(qǐng)求，供應(yīng)商還沒有開始看到，他們需要對(duì)政府的請(qǐng)求敬而遠(yuǎn)之。”

這種明確需要延伸到信息的所有權(quán)，云供應(yīng)商需要強(qiáng)調(diào)其客戶仍然對(duì)這些數(shù)據(jù)擁有所有權(quán)，并盡可能明確供應(yīng)商對(duì)數(shù)據(jù)的使用權(quán)。