云计算背景下的安与不安

在企业IT网络通信领域中，安全一直是用户非常关注的话题。云计算、大数据及移动化让企业的安全形势变得更加复杂和严峻。然而，云计算、大数据及移动化是大势所趋，也的确能大大降低企业的成本和提高企业的效率，改变企业的运营方式和思维方式，所以，很多企业在考虑向云计算迁移，但又顾虑重重，考虑最多的是安全问题。任何事物都具有两面性，云计算也不例外，但不能因噎废食，特别是在这个技术飞快发展的时代，如果不及时抓住技术的趋势，充分地利用技术，就可能在激烈的竞争中很快失去优势。那么，如果向云计算迁移，如何扬长避短呢?云计算存在哪些不安全因素呢?在向云计算迁移的过程中应该注意些什么呢?在向云计算迁移的过程中应该采取哪些安全策略呢?本文将和大家分享向云计算迁移过程中的一些安全思路和做法。供大家参考，并欢迎补充。

一、知己知彼 明察秋毫俯瞰云计算不安之因素

兵家有云：知己知彼，百战不殆。企业用户在向云计算迁移前，也需要全面了解自己的需求，明察秋毫，以全局的眼光充分认识云计算的安全风险和不安全因素，做好充分的准备来应对、抵抗和消除安全风险，使自己心中有数，有备无患。下面列出了一些云计算的安全风险和不安全因素，以供企业用户了然于胸。

云服务提供商采用的安全标准不统一，这使得企业用户在选择时很迷惑。

没有经过充分了解和评估云计算服务提供商的系统环境和相关风险，就贸然采用云服务。

云计算和移动化让整个企业的安全边界就没有了，使数据分散在多个设备和云服务中，这样企业的数据存储就很混乱，面临着数据丢失和永远失去知识产权的风险。

没有选用恰当的云模式。

账户或服务流量被劫持。

分布式拒绝服务(DDoS)。

不安全的云API会带来多种风险。

SAS 70标准已经不适用于高速发展的云服务，而且它最初的设计目的是监督企业遵守财务报告规则。

对于多租户云服务来说，如果数据库设计不合理，只要有一个用户的应用程序存在一个漏洞，就可以让攻击者获取这个用户的数据，甚至还能危及到其他用户。

不靠谱的云服务提供商或者不可抗拒的灾难可能导致用户的数据丢失。

为了绑定用户，云服务提供商往往不为用户提供无缝切换机制，经常用安全控制的借口拒绝为用户提供关键性数据模块，增加交接的困难。

不怀好意的内部人员破坏性地访问网络、系统或数据。

完全依赖云服务供应商的安全性，没有将云服务供应商的安全策略与企业本身的安全策略结合到一起。

没有做好监督工作。

很多企业制定了详细的云安全策略后，就将其束之高阁了，再也不去修改其内容了，这是一个非常严重的错误，往往使企业遭遇安全问题。

二、步步为营 有的放矢保障云计算安全之策略

充分认识了云计算的安全风险和不安全因素之后，就可以步步为营，有针对性地逐一制定安全策略，有的放矢，保障云计算安全。下面列出了一些让云计算更安全的方法和策略。供大家参考，并欢迎补充。

在向云计算迁移之前，做好充分地准备，进行充分地调查和评估。

通过可靠的安全标准对云服务提供商进行安全评估。规模最大且参与者众多的安全标准机构是CSA(Cloud Security Alliance)，即云安全联盟。

当对云服务提供商进行评估时，如果云服务提供商能够保证一个审计标准，这样要好于只听供应商一面之词。

评估云服务提供商时，不要把重点放在SAS 70认证上。

在对云服务提供商进行评估时，要对基于云的系统进行安全评估和审计，这个过程必须包括：网络和系统漏洞评估、服务器/工作站/移动设备合规性评估、云/管理程序基础设施评估。

企业用户需要确保在服务水平协议中云服务提供商有自己的业务连续性、备份和灾难恢复计划，并确保该协议涵盖恢复时间目标/恢复点目标(RTO/RPO)以及性能和带宽基线要求。

在向云计算迁移之前，企业用户需要考虑的因素有：企业用户希望迁移到云中的应用程序的关键程度、合规问题、必需的服务水平、负载的使用模式，以及应用程序与其它企业功能的集成程度。

企业需要全面调查云服务供应商的安全技术和过程，并检查云服务供应商如何保障企业数据及他们自己的基础架构的安全。企业尤其需要关注如下方面：

应用程序和数据的可移植性：供应商是否允许企业将现有的应用程序、数据和过程导出到云中?能轻松地将这些导回来吗?

数据中心的物理安全性：云服务服务供应商如何从物理上保护其数据中心?他们使用哪种类型的数据中心?他们的数据中心操作员得到过怎样的培训，有什么技能?

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友