簡單地說，你不能相信云服務(wù)提供商的員工。雖然說，我們也不能完全相信自己的員工，但至少我們能夠更好地監(jiān)控他們。在企業(yè)內(nèi)部，當(dāng)有人訪問安全數(shù)據(jù)時我們會收到警告，例如谷歌工程師因為基于客戶訪問情況跟蹤谷歌客戶而被抓，這些年來，我們很多看到員工因偷竊以及制造破壞等行為而被解雇。

在這個時代，很多國家都在廣泛搜集數(shù)據(jù)，并且，這些網(wǎng)絡(luò)間諜組織也不是特別安全，因為這些國家的做法會吸引犯罪分子效仿。最簡單入侵企業(yè)的方法是獲取員工的登錄憑證或者讓員工泄露信息，例如斯諾登一樣。

基于這些信息的價值以及國家可用來進行網(wǎng)絡(luò)釣魚或迫使員工提供訪問權(quán)限的工具可用性來看，筆者認為，對于企業(yè)而言，現(xiàn)在是時候該認真地審查云服務(wù)，并根據(jù)云服務(wù)是否能保護你的數(shù)據(jù)來對他們進行排名。

防止數(shù)據(jù)遭到政府監(jiān)控

受攻擊的明顯領(lǐng)域之一是通信服務(wù)器。例如，美國民主黨總統(tǒng)候選人希拉里使用私人電子郵件服務(wù)器，這個服務(wù)器可能已經(jīng)受到攻擊，因為它沒有得到充分保護。根據(jù)斯諾登披露的內(nèi)容表明，目前還不清楚這些信息在政府內(nèi)是否會更加安全。

通信服務(wù)器有著廣泛的信息面，如果未經(jīng)授權(quán)的人可以訪問這些服務(wù)器，這可能讓公司或者國家受到嚴重影響。企業(yè)內(nèi)部IT員工或者云服務(wù)提供商的員工不應(yīng)該有權(quán)限查看所有通信數(shù)據(jù)，然而，正如我們從斯諾登事件所看到的，現(xiàn)實情況并非如此。

理想情況下，通信應(yīng)該在來源處得到全面加密(根據(jù)政策或者法律)，同時，只有授權(quán)查看內(nèi)容的人可以解密。當(dāng)然，企業(yè)應(yīng)該對傳輸?shù)皆品?wù)提供商的數(shù)據(jù)進行加密，并當(dāng)數(shù)據(jù)離開公司時保持加密，確保直到返回都讓其他人無法訪問。

在任何情況下，云服務(wù)提供商都不應(yīng)該意外或故意讀取受其保護的安全文件。

分析是一個問題

在筆者看來，最大的問題是分析與合規(guī)性。企業(yè)本身需要能夠分析安全信息以捕捉和識別企業(yè)內(nèi)部的非法活動，并有效響應(yīng)合法發(fā)現(xiàn)/訪問請求。如果無法做到這一點，企業(yè)可能會被迫失去安全性或者創(chuàng)建永久性后門(+本站微信networkworldweixin)，這兩者都會降低加密的價值。

這里有兩種方法，其一：服務(wù)以加密形式位于云中，但在企業(yè)內(nèi)部則為可分析的形式;其二，服務(wù)位于完全安全的虛擬端，只有該企業(yè)可以訪問，但是提供headroom來滿足通信要求以及政策和法律要求的分析和報表功能。

事實上，企業(yè)還應(yīng)該采用容器做法以更好地保護數(shù)據(jù)抵御內(nèi)部非法活動。當(dāng)數(shù)據(jù)在虛擬容器中時，在云服務(wù)提供商之間或企業(yè)內(nèi)部和外部之間移動數(shù)據(jù)會相對更容易。

當(dāng)然，所有這些方法還應(yīng)該結(jié)合某種訪問控制以及安全產(chǎn)品，因為如果訪問容器的人沒有受到監(jiān)控，我們將無法保證容器的安全性。

現(xiàn)在是時候重新考慮安全性

企業(yè)不應(yīng)該相信云服務(wù)提供商的員工。在現(xiàn)在的環(huán)境，企業(yè)很難相信自己的員工，而考慮到云服務(wù)提供商的攻擊面，企業(yè)更加沒有辦法來相信云服務(wù)提供商的員工。

所以，企業(yè)應(yīng)該確保沒有人可以在未經(jīng)授權(quán)的情況下訪問機密信息，無論是在企業(yè)內(nèi)部還是在企業(yè)外部。然后，確保這些授權(quán)受到嚴格管理和監(jiān)控，這樣，你才可以說，你對信息的安全保護已經(jīng)足夠。

至少通過這種方法，你可以專注于云服務(wù)提供商的可用性、性能和價格，而不是關(guān)注他們是否在真正保護你的數(shù)據(jù)安全。當(dāng)讓，單靠這一點并不能確保讓你遵守跨越國界的法律。(鄒錚編譯)