作為一種省錢的技術(shù)，云計算以“咬定青山不放松”的堅韌，給企業(yè)帶來訪問更多的存儲容量和計算資源等益處。但即使將數(shù)據(jù)和工作負擔遷移到云可以帶來諸多好處，仍有一些公司對云的安全性感到不安。雖然有一些安全風險與云計算有著很大關(guān)系，但總體的安全性已有改善。

[[125356]]

人為錯誤與用戶訪問

無疑，供應(yīng)商已經(jīng)在保障云環(huán)境的安全方面有了不少進展，但還會有因供應(yīng)商或用戶的錯誤而導致的其它問題。

云的最大安全問題之一就是使用公有云的企業(yè)和個人粗心大意，從而在無意中將數(shù)據(jù)置于風險中。其它的安全風險至少有一部分是由云供應(yīng)商造成的：口令成為許多云服務(wù)的默認訪問方法。

當云用戶在家中的電腦上工作時，或在不受控制的其它地方工作時，就可能使公司的口令和登錄信息容易遭受釣魚攻擊的風險。因此，一些軟件廠商正著手開發(fā)有助于使公司更多地控制SaaS應(yīng)用的解決方案，并以此更好地管理通過云環(huán)境的信息流，從而避免數(shù)據(jù)丟失事件。

選擇適當?shù)墓?yīng)商

云安全問題往往未必是數(shù)據(jù)丟失或數(shù)據(jù)失竊等問題的主要元兇。無論從哪個方面來說(尤其是從經(jīng)濟方面)，云供應(yīng)商都會堅決地管理自己的服務(wù)，保持其強健、可靠、安全。云供應(yīng)商對安全的重視程度要比過去更強，而且也深刻地理解與故障、重大安全事件有關(guān)的風險，理解這些風險與客戶和收入的喪失、品牌受損之間的關(guān)系。

數(shù)據(jù)丟失往往發(fā)生在云供應(yīng)商產(chǎn)生財務(wù)問題或因某種原因而陷于倒閉時。如果云供應(yīng)商破產(chǎn)而被另一供應(yīng)商收購，或者徹底倒閉，就會將公司的數(shù)據(jù)置于危險的邊緣，或丟失或失竊。

企業(yè)實際上是受到供應(yīng)商的能力、財務(wù)、技術(shù)等因素的制約。在將“雞蛋(數(shù)據(jù))”放在它們的“籃子”中時，企業(yè)應(yīng)知道供應(yīng)商如何確保這個籃子保持完整。

安全并非需要考慮的唯一問題

在決定是否遷移到云中時，安全性并不是應(yīng)當考慮的唯一因素。除非企業(yè)屬于嚴格管制的行業(yè)，其中的數(shù)據(jù)完全不能面臨絲毫風險。通常，企業(yè)至少可以把部分不敏感的數(shù)據(jù)和負載放在云中而獲得一些好處。

即使企業(yè)有時要減少安全功能，與云計算有關(guān)的其它好處也可促使企業(yè)采用云。這種權(quán)衡可能很復雜，但從企業(yè)面臨的整體風險來說，采用云還是利大于弊。

重視第三方的評估

當然，為了使利用云的過程可靠穩(wěn)健，企業(yè)不能簡單地問幾個問題，而應(yīng)看一下云服務(wù)供應(yīng)商是否有第三方評估(如ISO 270001和SOC2)的證明。企業(yè)不應(yīng)聽信供應(yīng)商的一面之詞，而應(yīng)主動地找到擁有認證和適當評估的供應(yīng)商。

云安全可以改善企業(yè)的風險狀態(tài)

云供應(yīng)商有很多提升安全性和確保保護客戶資產(chǎn)安全性的動機和理由，所以在有些情況下與云供應(yīng)商合作可以提高安全性。

實際上，云供應(yīng)商可以在多個客戶的安全監(jiān)視和保護費用之間實現(xiàn)共享，這是一種能夠以更低的成本換來更大安全性的的規(guī)模經(jīng)濟。中小型企業(yè)尤其可以考慮此種方案，因為對于沒有很成熟或強健的安全控制的公司來說，遷移到云計算不僅有助于降低成本，還有益于風險管理。

不妨以SIEM(安全信息和事件管理)為例。多數(shù)小型企業(yè)不可能有專門的人員全天候地運行一個安全操作中心，因為這種做法成本高昂。為進行全天候的監(jiān)視，企業(yè)需要有多個雇員輪換(包括在周末)值班。云服務(wù)供應(yīng)商可以用專門的專業(yè)人員提供安全操作，這對企業(yè)來說是很劃算的。