Gartner: 7个云计算安全风险
云计算正引领业务发展。当你跳进云里之前,你应该知道它特有的安全风险。
据Gartner分析,云计算充斥着安全风险。聪明的客户在与云供应商旅约之前,将提出很难回答的问题,并考虑借助第三方中立机构进行评估,Gartner在今年6月份一份题为“评估云计算的安全风险”报告里这样认为。
云计算有其“特有的属性,这些属性要求在一些领域必须作风险评估,诸如数据的完整性、恢复、隐私等领域;在另一些领域里(如电子恢复、法规遵从和审计)需要作法律评估”,Gartner认为。
Amazon的EC2服务和Google的Google's App Engine是云计算的例子,Gartner将其定义为一种计算,在这种计算里,“使用联网技术将大规模可扩展的IT能力以服务的方式向外部客户提供”。
客户需要透明,不愿意和拒绝提供详细安全信息的厂商合作。问清楚策略制定者、架构师、程序员和操作者的资格;风险控制过程和技术机制;做过什么程度的测试以验证服务和控制过程符合预期,验证供应商能识别意外漏洞。
这里有7个有针对性的安全问题,Gartner认为在选择云供应商之前,客户应该向供应商提出来。
1. 特权用户访问。在企业外部处理的敏感数据带来固有程度的风险,因为外包的服务逃避了“物理的、逻辑的和人员的控制”。尽可能多地收集管理你数据的人的信息。“要求云提供者提供对特权管理员的雇佣、监管,以及对其访问的控制等相关信息”, Gartner这样认为。
2. 法规遵从。客户要最终为数据的安全与完整性负责,哪怕数据在服务提供商那里。传统的服务提供商受外部审计和安全证书的约束。Gartner认为,那些拒绝接受这种审查的云计算提供商正在发出这样的信号:“客户只为最琐碎的功能使用他们。”
3. 数据位置。使用云时,你很可能不知道你的数据在哪,事实上你都不知道数据在哪个国家。Gartner忠告:询问提供商他们在存储、处理数据时是否向相关的司法管辖区做过承诺,是否正式承诺遵守当地的代表客户的隐私需求。
4. 数据隔离。云里的数据一般是放在共享的环境里,其他客户的数据也放在里面。加密当然是有效的,但也不能包治百病。Gartner 发出忠告,要“弄明白为静态的数据隔离做了些什么。”云服务提供商要提供证据,证明加密方法经过了有经验的专业人员的设计和测试。“加密一旦出现事故,数据将彻底不能使用,即便是正常的加密也影响了数据的可得性”, Gartner这样补充道。
5. 数据恢复。即使你不知道你的数据在哪,云服务提供商应该告诉你,一旦有灾难发生,你的数据和服务将会怎样。“没有数据和应用基础架构跨多地备份的承诺,都将是导致彻底失效的隐患”,Gartner认为。咨询你的提供商“是否具有完全恢复数据和基础架构的能力,需要多久?”
6. 调查支持。在云计算里,调查不恰当和非法活动也许不可能,Gartner警告。“调查云服务特别困难,因为多个客户的日志和数据是放在一起的,还可能遍布在总在变化之中的数据中心和托管主机里。如果你不能得到正式的承诺以支持相关调查,也不能得到服务提供商已成功支持了调查活动的证据,那么你只能认为调查和恢复请求是不可能的”。
7. 可持续发展能力。理想情况下,云计算提供商永远不倒闭,或者被更大的公司并购。但是你必须确定你的数据将是持续可用的,即使出现了上述事件。“询问你的提供商你将如何收回你的数据,是否可以将数据格式转换到一个新系统里”, Gartner提醒。
分享到:
相关推荐
Gartner:2021-2023大型企业新兴技术路线图.pdf
当前的防护功能难以应对高级的定向攻击,由于企业系统所受到的是持续攻击,并持续缺乏防御力,面向“应急响应”的特别方式已不再是正确的思维模式,Garnter提出了用自适应安全架构来应对高级定向攻击。大多数企业在...
Gartner:企业动态风险治理始于共享数据-(附3大案例).docx
云迁移安全(一):Gartner的5R安全迁移模型.docx云迁移安全(一):Gartner的5R安全迁移模型.docx云迁移安全(一):Gartner的5R安全迁移模型.docx云迁移安全(一):Gartner的5R安全迁移模型.docx云迁移安全(一):Gartner...
Gartner:制定成功产品策略的三个经验.pdf
Gartner:2014年十大科技趋势
云计算已广泛应用于计算机各领域,获得了令人瞩目的成就,其中尤以亚马逊、谷歌等公司提供的...在高德纳(Gartner)、Novell等公司发布的研究报告中也表明云计算安全问题将成为公司部署云服务时首先需要考虑的因素。
Gartner:软件定义存储报告.docx
Gartner:2023年顶级战略技术趋势
CARTA:Gartner的持续自适应风险与信任评估战略方法简介.docx
Gartner:AI和自动化将是新一代SASE的关键能力.docx
Gartner:2022年技术供应商重要趋势.pdf
Gartner:2022中国超融合厂商格局报告.pdf
Gartner:了解并购交易的文化整合.pdf
Gartner:软件定义存储报告 2016.docxGartner:软件定义存储报告 2016.docx
Gartner:关于如何进行设备身份、密钥和证书方面管理的研究报告,Managing Machine Identities, Secrets, Keys and Certificates
Gartner:半导体制造设备销售快速增长.pdf
Gartner:全球半导体销售额急速放慢.pdf
Gartner:今明年半导体市场挑战重重.pdf
Gartner:多维度优化人工智能应用.pdf