解惑释疑 辩证看待云安全

应用程序访问。云计算中的访问安全性通常也是一个广受关注的重要问题，但事实上它完全不是一个日益严重的风险。如果你是使用互联网访问你的应用程序，那么通过互联网访问云计算中同样的应用程序就不会存在更多的风险，当然其前提条件是你能够如上所述正确地管理SSL和加密密钥。如果你打算使用虚拟专用网络访问来代替互联网访问，尤其是创建一个互联网VPN，那么就会出现新的挑战。

互联网VPN通常会使用IPsec加密系统，这是一种不同于SSL的安全技术，它会创建一个用户群，这个用户群中用户的数据流量都是通过他们与网络之间的软硬件进行加密和解密处理的。当企业在他们自己的内部VPN上使用Ipsec技术时，对于云计算是不存在任何额外安全性风险的;但是，云计算供应商们通常是不会支持在他们的云计算数据中心中增加安全设施的，因此就可能需要一个软件以支持至每一个云计算应用程序的IPsec VPN连接。一般而言，这可能是每个应用程序机器镜像的一部分，是一种中间件。请与你目前的IPsec供应商确认，以确保你有一个云计算兼容的IPsec功能可以使用。

物理数据安全。数据资产的物理安全是绝大多数用户所共同关心的最大问题，同时这也是规划者最难以解决的一个问题。如果机密信息被存储在云计算中，那么验证你的云计算供应商的安全性资质就是非常重要的了。虽然已经出现了大批的云计算安全合规性框架，如云计算安全联盟(CSA)的开放认证框架(OCF);但问题是，这些框架都还未完全开发完成。如果你计划把机密信息存储在云计算中，那么你就需要确认你的云计算供应商提供何种框架以及这一框架是否能够满足你的实际需求。绝大多数的云计算项目规划者所面临的最大问题就是确定云计算供应商的框架是否支持你的合规性要求和政府法规，这项审查工作应由你的内部审计或法务办公室完成，如有必要可与政府监管部门合作进行。

在云计算项目中，也许可以通过杜绝存储机密数据而减少数据物理安全性问题的产生。如果应用程序使用结构化数据访问方法(DBMS/RDBMS 查询处理)而不是块级别的访问读写操作，那么就可以在把应用程序迁往云计算的同时把数据储存模块保留在企业内部。

独立审计是云计算项目规划者在研究云计算安全选项时另一个需要考虑的问题。严格遵循合规性需求的公司可能还需要拥有一个经第三方认证的云计算战略。如果你有一家合规审计公司为你的内部IT提供了到位的审计服务，那么这家公司很可能是你进行云计算合规性和安全性审计的最佳选择。如果你不这么做，那么列出一份他们推荐的云计算供应商和安全合规性审计公司的名单。先按照这些公司的表现选出前三名，然后联系这三家公司进行项目竞标。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友