Gartner: 7个云计算安全风险

Gartner: 7个云计算安全风险

云计算正引领业务发展。当你跳进云里之前，你应该知道它特有的安全风险。

据Gartner分析，云计算充斥着安全风险。聪明的客户在与云供应商旅约之前，将提出很难回答的问题，并考虑借助第三方中立机构进行评估，Gartner在今年6月份一份题为“评估云计算的安全风险”报告里这样认为。

云计算有其“特有的属性，这些属性要求在一些领域必须作风险评估，诸如数据的完整性、恢复、隐私等领域；在另一些领域里（如电子恢复、法规遵从和审计）需要作法律评估”，Gartner认为。

Amazon的EC2服务和Google的Google's App Engine是云计算的例子，Gartner将其定义为一种计算，在这种计算里，“使用联网技术将大规模可扩展的IT能力以服务的方式向外部客户提供”。

客户需要透明，不愿意和拒绝提供详细安全信息的厂商合作。问清楚策略制定者、架构师、程序员和操作者的资格；风险控制过程和技术机制；做过什么程度的测试以验证服务和控制过程符合预期，验证供应商能识别意外漏洞。

这里有7个有针对性的安全问题，Gartner认为在选择云供应商之前，客户应该向供应商提出来。

1. 特权用户访问。在企业外部处理的敏感数据带来固有程度的风险，因为外包的服务逃避了“物理的、逻辑的和人员的控制”。尽可能多地收集管理你数据的人的信息。“要求云提供者提供对特权管理员的雇佣、监管，以及对其访问的控制等相关信息”， Gartner这样认为。

2. 法规遵从。客户要最终为数据的安全与完整性负责，哪怕数据在服务提供商那里。传统的服务提供商受外部审计和安全证书的约束。Gartner认为，那些拒绝接受这种审查的云计算提供商正在发出这样的信号：“客户只为最琐碎的功能使用他们。”

3. 数据位置。使用云时，你很可能不知道你的数据在哪，事实上你都不知道数据在哪个国家。Gartner忠告：询问提供商他们在存储、处理数据时是否向相关的司法管辖区做过承诺，是否正式承诺遵守当地的代表客户的隐私需求。

4. 数据隔离。云里的数据一般是放在共享的环境里，其他客户的数据也放在里面。加密当然是有效的，但也不能包治百病。Gartner 发出忠告，要“弄明白为静态的数据隔离做了些什么。”云服务提供商要提供证据，证明加密方法经过了有经验的专业人员的设计和测试。“加密一旦出现事故，数据将彻底不能使用，即便是正常的加密也影响了数据的可得性”， Gartner这样补充道。

5. 数据恢复。即使你不知道你的数据在哪，云服务提供商应该告诉你，一旦有灾难发生，你的数据和服务将会怎样。“没有数据和应用基础架构跨多地备份的承诺，都将是导致彻底失效的隐患”，Gartner认为。咨询你的提供商“是否具有完全恢复数据和基础架构的能力，需要多久？”

6. 调查支持。在云计算里，调查不恰当和非法活动也许不可能，Gartner警告。“调查云服务特别困难，因为多个客户的日志和数据是放在一起的，还可能遍布在总在变化之中的数据中心和托管主机里。如果你不能得到正式的承诺以支持相关调查，也不能得到服务提供商已成功支持了调查活动的证据，那么你只能认为调查和恢复请求是不可能的”。

7. 可持续发展能力。理想情况下，云计算提供商永远不倒闭，或者被更大的公司并购。但是你必须确定你的数据将是持续可用的，即使出现了上述事件。“询问你的提供商你将如何收回你的数据，是否可以将数据格式转换到一个新系统里”， Gartner提醒。