盤點(diǎn)云計算需要防范的七大安全風(fēng)險 |
發(fā)布時間: 2012/9/7 15:42:44 |
云計算領(lǐng)域伴隨各類安全風(fēng)險。諸如亞馬遜的EC2服務(wù)和谷歌的Google App Engine就是云計算服務(wù)的例子。在認(rèn)可一個供應(yīng)商之前,聰明的使用者通常會提出一系列尖銳的問題并且考慮從獨(dú)立第三方獲取一份安全評估報告。 云計算的特有屬性決定了風(fēng)險評估的重要性,包括數(shù)據(jù)完整性保護(hù)、故障發(fā)生后可恢復(fù)性以及私密性等領(lǐng)域。此外,諸如e-discovery(電子發(fā)現(xiàn))和審計等方面的法律評估也是必不可少的。以下是使用者在選擇供應(yīng)商之前需要防范的七方面風(fēng)險: 優(yōu)先訪問權(quán) 由于云計算服務(wù)供應(yīng)商采用內(nèi)部程序,以繞開物理、邏輯和個人控制,敏感數(shù)據(jù)在處理過程中存在被盜取風(fēng)險,因此,盡可能掌握管理數(shù)據(jù)相關(guān)人員的信息至關(guān)重要。使用者需要向供應(yīng)商索要其擁有優(yōu)先訪問權(quán)管理人員的雇傭和監(jiān)管的詳細(xì)信息。 監(jiān)管 即使數(shù)據(jù)掌握在服務(wù)供應(yīng)商手中,使用者也是其數(shù)據(jù)安全性和完整性的最終負(fù)責(zé)人。傳統(tǒng)服務(wù)供應(yīng)商需要接受外部審計和安全認(rèn)證等方式的監(jiān)管,這對云計算服務(wù)供應(yīng)商而言也是必不可少的。對于拒絕接受檢查的供應(yīng)商,使用者最好避而遠(yuǎn)之。 數(shù)據(jù)定位 當(dāng)使用者享受云計算服務(wù)時,他們很可能對于數(shù)據(jù)所在方位一無所知,甚至不知道被存儲在哪一個國家。因此,使用者需要向供應(yīng)商詢問其是否在特定地區(qū)存儲和處理數(shù)據(jù),以及他們是否向使用者承諾遵照當(dāng)?shù)仉[私保護(hù)要求。 數(shù)據(jù)分割 通常情況下,一個云內(nèi)有很多使用者的數(shù)據(jù)處在共享環(huán)境中。盡管加密有效,但并非萬能。因此,使用者需要查實(shí)數(shù)據(jù)分割的方式。云計算服務(wù)供應(yīng)商應(yīng)該提供證據(jù),證明其加密方案是由經(jīng)驗豐富的專家設(shè)計和檢測的。加密事故可能造成數(shù)據(jù)完全癱瘓,即使一般的加密不當(dāng)也會造成數(shù)據(jù)可得性復(fù)雜化。 數(shù)據(jù)恢復(fù) 即使不了解數(shù)據(jù)所在地,使用者也應(yīng)該了解在極端情況下其數(shù)據(jù)將面臨哪些問題以及將被如何處理。如果云計算服務(wù)供應(yīng)商不能通過不同來源復(fù)制數(shù)據(jù),以及恢復(fù)應(yīng)用程序,使用者將面臨很大風(fēng)險。因此,使用者需要向供應(yīng)商了解其能否完整恢復(fù)受損數(shù)據(jù)及恢復(fù)所需時間。 調(diào)查支持 在云計算領(lǐng)域,調(diào)查不當(dāng)或非法活動幾乎是不可能的。由于大量使用者的記錄和數(shù)據(jù)可能同在一處,而且很可能在不同主機(jī)和數(shù)據(jù)中心傳遞,在云計算服務(wù)中的調(diào)查十分困難。如果沒有供應(yīng)商支持各種類型調(diào)查的合約承諾,以及其有效支持各類調(diào)查的證據(jù),那么調(diào)查和披露要求將不可能實(shí)現(xiàn)。 長期發(fā)展風(fēng)險 一般而言,云計算供應(yīng)商持續(xù)經(jīng)營,不發(fā)生破產(chǎn)或被吞并是最理想的情況。一旦出現(xiàn)意外狀況,使用者必須確保仍然能夠使用數(shù)據(jù)。因此,使用者需要向云計算服務(wù)供應(yīng)商咨詢當(dāng)發(fā)生兼并收購等情況后如何找回數(shù)據(jù)。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |