但NSA監(jiān)控項(xiàng)目的曝光并不會使一些企業(yè)因害怕數(shù)據(jù)泄露不再采用托管服務(wù)，而是它能促進(jìn)企業(yè)用戶和云服務(wù)供應(yīng)商改革其內(nèi)部的安全和隱私保護(hù)策略，加強(qiáng)云數(shù)據(jù)安全保護(hù)，而這是企業(yè)和供應(yīng)商早就應(yīng)該做的、卻又遲遲未做的事情。

 

愛德華·斯諾登首次向媒體泄露NSA監(jiān)控項(xiàng)目時，業(yè)界分析師就已預(yù)料到這一泄密事件將給云計算部署帶來很大的變化。

 

比如，在2013年8月，“信息技術(shù)和創(chuàng)新基金會(ITIF)”表示，NSA監(jiān)控項(xiàng)目的曝光將導(dǎo)致美國云計算供應(yīng)商損失10%至20%的海外市場占有率，或者到2016年這些企業(yè)將損失350億美元的潛在銷售額。

 

 

 

ITIF關(guān)于NSA監(jiān)控泄密事件對美國云計算企業(yè)影響的最低估計數(shù)據(jù)表(單位：十億美元)

 

 

 

ITIF關(guān)于NSA監(jiān)控泄密事件對美國云計算企業(yè)影響的最高估計數(shù)據(jù)表(單位：十億美元)

 

基于歐洲企業(yè)對美國政府?dāng)?shù)據(jù)收集的擔(dān)憂，另外一個業(yè)界組織——云安全聯(lián)盟(CSA)也預(yù)測了這一擔(dān)憂將給美國云服務(wù)供應(yīng)商帶來的沖擊。

 

大約六個月之后，NSA監(jiān)控項(xiàng)目曝光事件產(chǎn)生的影響便隨之而來，只不過沒有預(yù)想得那么嚴(yán)重。

 

盡管有報道稱美國云服務(wù)供應(yīng)商在海外出現(xiàn)滯銷狀況，但有專家預(yù)測斯諾登泄密事件將對美國云服務(wù)供應(yīng)商的長期銷售影響較小。因?yàn)槭褂迷品?wù)所帶來的商業(yè)利益會逐漸消除企業(yè)對美國政府監(jiān)控的恐懼。

 

與此同時，由于NSA監(jiān)控項(xiàng)目細(xì)節(jié)的曝光，企業(yè)對云數(shù)據(jù)的安全保護(hù)意識也在不斷加強(qiáng)，且在2014年將會上升到一個高度。

 

斯諾登泄密事件也讓人們清楚地知道，企業(yè)對存儲在云上的數(shù)據(jù)的控制力是有多小。咨詢公司IT-Harvest的負(fù)責(zé)人Richard Stiennon說：“云計算領(lǐng)域?qū)霈F(xiàn)零信任安全模式的根本性轉(zhuǎn)變，泄密事件將使企業(yè)加強(qiáng)云安全保護(hù)措施，使得企業(yè)的數(shù)據(jù)無論是從企業(yè)傳輸?shù)皆贫?，還是從云端下載到企業(yè)中等各個環(huán)節(jié)，都盡可能避免有任何縫隙，從而導(dǎo)致企業(yè)的數(shù)據(jù)泄露。”

 

分析稱，企業(yè)安全官們正著手準(zhǔn)備提高企業(yè)的云安全保護(hù)，并從一下幾個主要方面入手，包括數(shù)據(jù)加密、密鑰和數(shù)據(jù)所有權(quán)、區(qū)域化和提高政府透明度。

 

 

自斯諾登泄密事件發(fā)生之后，數(shù)據(jù)加密開始引起了人們的極大關(guān)注。主要的云服務(wù)供應(yīng)商，如微軟、雅虎和谷歌都對其托管和管理的用戶數(shù)據(jù)進(jìn)行了端到端的加密設(shè)置。

 

例如，谷歌云存儲現(xiàn)在可以實(shí)現(xiàn)對寫入磁盤的新數(shù)據(jù)進(jìn)行自動加密，而這種服務(wù)器端的加密方式也將很快用于存儲在谷歌云上的老數(shù)據(jù)，以保障所有數(shù)據(jù)的安全。

 

自NSA監(jiān)控項(xiàng)目公布之后，微軟就向業(yè)界宣布了其新的計劃，即加強(qiáng)微軟所提供的包括Outlook.com、Office 365、SkyDrive和Windows Azure等在內(nèi)的各種服務(wù)的加密設(shè)置。

 

到2014年底，微軟希望找出合適的辦法對傳輸于用戶與微軟數(shù)據(jù)中心之間的數(shù)據(jù)進(jìn)行加密，同時還將對傳輸于其數(shù)據(jù)中心之間的數(shù)據(jù)進(jìn)行加密。

 

微軟表示，要像谷歌一樣將存儲在微軟云上的所有數(shù)據(jù)進(jìn)行加密。

 

其他云服務(wù)供應(yīng)商，如Dropbox、Sonic.net和SpiderOak也都宣布將實(shí)施類似的數(shù)據(jù)加密項(xiàng)目，并提供2048-bit密鑰長度的服務(wù)，同時采用“完美轉(zhuǎn)發(fā)保密性”的方法用于未來的數(shù)據(jù)加密。

 

專家表示，這些方式對于保護(hù)傳輸于企業(yè)用戶和數(shù)據(jù)供應(yīng)商之間的數(shù)據(jù)安全至關(guān)重要。

 

Information in the classified documents about NSA attempts to weaken encryption algorithms, and to tap fiber links connecting service provider data centers provided much of the impetus for these efforts.

 

NSA加密文件中的信息顯示，NSA試圖減弱加密算法，并通過光纖鏈路連接到云服務(wù)供應(yīng)商的數(shù)據(jù)中心以獲得用戶數(shù)據(jù)。

 

 

美國政府與Lavabit之間富有爭議性的關(guān)系引起了人們對密鑰管理和數(shù)據(jù)所有權(quán)的高度重視，Lavabit是一家安全電子郵件服務(wù)供應(yīng)商，美國政府曾向這家云服務(wù)公司索要數(shù)據(jù)密鑰。

 

云基礎(chǔ)設(shè)施管理公司HyTrust的總裁Eric Chiu說：“云服務(wù)供應(yīng)商的加密做法的確是提高云安全的一個重要方式，但是他們卻只做到這一點(diǎn)而已。”

 

“只有其密鑰管理系統(tǒng)安全了，數(shù)據(jù)加密才會安全”，Chiu說：“當(dāng)云服務(wù)供應(yīng)商采用加密的方法時，用戶需要清楚的是：如果供應(yīng)商拿著數(shù)據(jù)密鑰的話，那么他們很有可能會竊取用戶數(shù)據(jù)，或者將密鑰交給別人，如果有人跟他們要的話。”

 

這種擔(dān)憂刺激了人們尋找其他方式以保護(hù)云安全的興趣，而這一方式就是能夠讓采用云服務(wù)的企業(yè)用戶自己擁有其數(shù)據(jù)密鑰，并了解數(shù)據(jù)靜止時、數(shù)據(jù)使用時和數(shù)據(jù)傳輸時的密鑰管理程序。

 

越來越多的云計算供應(yīng)商，如Vaultive、CipherCloud、TrendMicro和HyTrust都提供相應(yīng)的工具，使得企業(yè)用戶在使用云托管基礎(chǔ)設(shè)施和服務(wù)時，能夠?qū)λ麄冏约旱臄?shù)據(jù)擁有更大的控制力。

 

例如，CipherCloud提供一種網(wǎng)關(guān)技術(shù)，可以讓企業(yè)用戶對傳輸和存儲在云端的數(shù)據(jù)進(jìn)行加密。同時，這個網(wǎng)關(guān)允許企業(yè)在本地存儲密鑰，并能夠管理存儲在云端的加密數(shù)據(jù)。

 

這種技術(shù)的出現(xiàn)意味著政府部門只能通過數(shù)據(jù)的所有者才能獲取數(shù)據(jù)，其目的是為了消除在數(shù)據(jù)所有者不知情的情況下，云服務(wù)供應(yīng)商將密鑰交給政府部門這種行為。

 

安全專家一直都在建議使用持久、穩(wěn)定的加密方式來保護(hù)云中的數(shù)據(jù)安全，然而到目前為止，由于密鑰管理的高成本和復(fù)雜性導(dǎo)致這種方式的采用率還很低。但這種情況正在改變。

 

Chiu預(yù)測說：“出于合規(guī)性和內(nèi)部目標(biāo)的需要，一些企業(yè)需要真正的數(shù)據(jù)隱私，而我們也將看到這些企業(yè)會執(zhí)行加密措施，并將密鑰存儲在企業(yè)內(nèi)部。”

 

Vaultive、CipherCloud，以及其他云服務(wù)供應(yīng)商均表示，由于NSA監(jiān)控丑聞的曝光，企業(yè)用戶對于他們所提供的技術(shù)需求在顯著增長。

 

 

斯諾登泄密事件也能夠加速云計算服務(wù)的區(qū)域化發(fā)展。

 

人們對位于美國的服務(wù)器和基礎(chǔ)設(shè)施云上的托管數(shù)據(jù)的擔(dān)憂導(dǎo)致企業(yè)用戶，尤其是那些非美企業(yè)用戶更希望使用距離自己企業(yè)比較近的云服務(wù)供應(yīng)商提供的服務(wù)。

 

特別是中國和亞非地區(qū)的企業(yè)，自NSA監(jiān)控項(xiàng)目公布之后，他們對美國云服務(wù)供應(yīng)商及其提供的技術(shù)非常擔(dān)心，Stiennon說。很多企業(yè)開始選擇美國以外的其他地區(qū)的供應(yīng)商或者本地供應(yīng)商提供的托管服務(wù)。

 

Steinnon說：“我不喜歡用‘割據(jù)(Balkanization)’這個詞，但是現(xiàn)在全球的云計算供應(yīng)商確實(shí)呈現(xiàn)了一種分散分布的現(xiàn)象。”過去幾年，在世界各個不同的地區(qū)，有數(shù)以百計的小型公有云服務(wù)提供商如雨后春筍般地涌現(xiàn)出來，并服務(wù)于本地市場。據(jù)Stiennon預(yù)測，在這些供應(yīng)商中，將會有許多公司從斯諾登泄密事件中受益。

 

與此同時，位于美國本土的大型云服務(wù)供應(yīng)商們也將在世界各地設(shè)立服務(wù)運(yùn)營部門，以減少運(yùn)費(fèi)成本，并向本地用戶提供更好的服務(wù)，Gartner分析師Lawrence Pingree說。

 

例如，2013年12月，亞馬遜宣布2014年將其AWS公有云服務(wù)遷入中國。該計劃包括亞馬遜在中國安裝云服務(wù)器，以便向中國的企業(yè)提供托管服務(wù)。

 

Pingree說：“許多云服務(wù)供應(yīng)商和SaaS供應(yīng)商都在實(shí)行區(qū)域化，以提高敏捷性和產(chǎn)品性能。” Pingree表示，對安全問題的高度關(guān)注將加快區(qū)域數(shù)據(jù)中心的使用步伐。

 

 

受斯諾登泄密事件的影響，人們也要求政府在收集數(shù)據(jù)時增加透明度，提高人們的知情權(quán)。

 

谷歌、微軟、雅虎和大批其他高科技提供商正向政府施加壓力，讓政府允許他們公布NSA和其他情報機(jī)構(gòu)向其索取用戶數(shù)據(jù)的細(xì)節(jié)。這些企業(yè)表示，由于法律禁止他們公開NSA索取用戶數(shù)據(jù)的細(xì)節(jié)，使人們對他們在政府竊取用戶數(shù)據(jù)事件中所扮演的角色產(chǎn)生誤解。

 

谷歌、蘋果、Facebook和微軟等企業(yè)的高管們都紛紛給奧巴馬總統(tǒng)寫信，要求政府改革監(jiān)控行為，并提高政府的透明度。這在美國是史無前例的。

 

谷歌、微軟和其他企業(yè)計劃在他們定期發(fā)布的透明度報告中提供更多有關(guān)政府?dāng)?shù)據(jù)采集的細(xì)節(jié)，同時這些企業(yè)還表示，他們將積極、合法地挑戰(zhàn)政府索取數(shù)據(jù)的行為。

 

分析師表示，甚至是電信公司，即使他們回應(yīng)有關(guān)政府收集數(shù)據(jù)事件的速度明顯慢于這些云服務(wù)供應(yīng)商，但在未來他們也將會有同樣的計劃。

 

例如，美國的一家電信公司Verizon表示，公司將很快發(fā)布一個透明度報告，公布執(zhí)法機(jī)關(guān)向其索要用戶數(shù)據(jù)的細(xì)節(jié)。

 

2013年12月，微軟公司總顧問Brad Smith在一篇博客中寫道：政府監(jiān)控與復(fù)雜的惡意軟件和網(wǎng)絡(luò)攻擊共同形成了一種“高級持續(xù)性的威脅”。

 

Smith表示，除了在一些非常受限制的情況下，未來微軟將與政府索取其云端用戶數(shù)據(jù)的行為作斗爭。Smith說：“我們認(rèn)為政府部門可以直接到企業(yè)用戶或者政府用戶那里去獲取每一位員工的信息和數(shù)據(jù)，就像以前用戶數(shù)據(jù)沒有遷到云端時他們所做的那樣，而不是通過我們這樣的云服務(wù)供應(yīng)商來獲取數(shù)據(jù)。”