哪一個更安全：把數(shù)據(jù)保存在云里，還是留在自己內(nèi)部?

本周在舊金山舉行的RSA 2014大會上，來自微軟、谷歌和其他云廠商的安全專家們在小組討論中就這個話題進(jìn)行了激烈的爭論。廠商們認(rèn)同，讓客戶把數(shù)據(jù)保存在云中是建立信任的問題，但是他們對如何實現(xiàn)這個目標(biāo)有不同的看法。

[[109309]]

雖然很多企業(yè)機(jī)構(gòu)正在利用公有云測試和開發(fā)軟件，但是將數(shù)據(jù)保存在云中的企業(yè)卻還是比較少。在某些情況下，他們錯過了，因為云存儲的成本遠(yuǎn)遠(yuǎn)比在內(nèi)部保存數(shù)據(jù)的成本低。但是有一些類型的敏感數(shù)據(jù)是永遠(yuǎn)也不應(yīng)該保存在公有云中的，這一點得到了小組討論成員的認(rèn)同。

Google Apps安全總監(jiān)Eran Feigenbaum認(rèn)為，好消息是云現(xiàn)在已經(jīng)足夠安全讓企業(yè)可以用它來保存數(shù)據(jù)而不會感到他們承擔(dān)了某些風(fēng)險。

Feigenbaum表示，來自主流云提供商的云基礎(chǔ)設(shè)施可能要比客戶他們自己運(yùn)營數(shù)據(jù)中心更加安全放心。

他說：“以前，沒有人因為采購了IBM或者微軟產(chǎn)品而被解雇，而今天我們都在云里面了?，F(xiàn)在，云提供商的責(zé)任是說服你相信他們所做的都是安全可靠的。”

考慮到谷歌是一家云提供商，所以他的話聽上去有點為自己說話。但是Bruce Schneier也表示認(rèn)同F(xiàn)eigenbaum的觀點，Schneier是一位著名的密碼學(xué)家，同時也是馬薩諸塞州劍橋一家名為Co3 System安全廠商的***技術(shù)官。

Schneier表示：“當(dāng)我們外包基礎(chǔ)設(shè)施的時候，我們這么做是因為我們整合經(jīng)驗獲得更好的結(jié)果。你不會運(yùn)營自己的航空公司或者自己做稅款吧。有一個實體機(jī)構(gòu)來幫你做這些事情，這是有巨大價值的。”

因為安全是云服務(wù)提供商業(yè)務(wù)的一個重要部分，所以“他們將做得更好”，Schneier這樣表示。

云廠商建議使用安全證書

小組討論成員建議，云提供商為客戶提供某種證書，證明他們的云已經(jīng)滿足了安全保存數(shù)據(jù)的法律要求。

Schneier表示：“谷歌將會給我某種文檔。這是我們的審核;加入到你們的審核流程中。”除了訴訟情況下的追索權(quán)之外，“這還讓我作為云客戶感到能夠信任眼前這個人。”

Feigenbaum表示，除了證書之外，廠商們應(yīng)該明確闡述他們在安全和隱私方面的責(zé)任，不管是合同的還是技術(shù)的，明確客戶將能夠從使用他們的云中獲得什么。

他將這種情況比喻為信用卡的應(yīng)運(yùn)而生，人們直到明確了他們的責(zé)任之后才會放心使用信用卡。Feigenbaum表示：“在云中這相當(dāng)于什么呢?廠商將會給我怎樣的承諾呢?”

在云中保存數(shù)據(jù)的一個棘手場景是當(dāng)執(zhí)法機(jī)構(gòu)將一家廠商的服務(wù)器鎖定為調(diào)查的一部分。Feigenbaum表示，當(dāng)這種情況發(fā)生的時候谷歌經(jīng)常拒絕以確保請求是合理的。如果可能的話，他們還要通知受調(diào)查的客戶。

雖然這種情況還沒有發(fā)生在微軟身上，但是微軟***信息安全官Bret Arsenault表示，作為一家軟件巨頭，微軟也會拒絕這種請求。“解決這些事情有很多種技術(shù)方法，例如客戶有他們自己的密鑰能夠讓他們響應(yīng)批量數(shù)據(jù)請求。”