| 摘要:在云计算安全性方面,大家头上都悬着个问号。云计算那种将企业数据存放在企业防火墙外的数据中心,并通过互联网进行访问的概念,确实让很多企业都觉得不靠谱。 |
确保存储在云环境的信息安全
一旦数据到达了云平台的存储位置,就开始进行下一步数据安全措施了。Titterington说:“一般来说,实际的传输阶段是担忧最少的阶段,这时用户所关注的是数据到达后会被如何存储。”
Titterington认为,对于云技术来说,访问控制技术的运用是至关重要的,他说:“访问控制必须被重视。云服务的大门永远是面向互联网的,不论采用的是软件即服务(SaaS),平台即服务(PaaS)还是架构即服务(IaaS)模式。在开放环境和企业数据之间只有访问控制机制在起作用。”
Ovum建议机构将访问控制集成进他们自己的云服务中,这样内部和外部的身份认证和登录系统将同步进行,减小了出现安全风险的机会。
企业同样需要确保他们能够得到最新的数据访问记录。这个策略意味着,一旦用户离开办公环境,他们的接入权限马上会被收回,这样他们就不能从办公地点以外的非授权系统访问云服务。
和数据传输过程一样,数据存储时同样需要进行数据加密,以提高信息的安全性。
Ovum的Titterington表示,有些加密技术允许企业将数据加密所使用的密钥保留在云环境中,这样,只有具有完全控制权限的人才能够在虚拟机中查看解密的信息。
Titterington说:“目前已经有针对云环境的数据加密技术了,企业都应该考虑使用。”
企业所考虑的另一个有关云环境下数据存储的问题是,有可能与自己的数据存储在相近空间,或者存储在紧邻的虚拟机中的,就是竞争对手的数据。
而分析人士表示,数据混杂存储甚至被错误的用户访问的情况基本不会发生。
Field Fisher Waterhouse的Ustaran表示:“我还从没见过那个服务提供商会将不同客户的数据混杂在一起,并被错误的客户访问。”
Titterington也补充说:“对于绝大多数机构来说,他们建立云架构时使用的技术和架构就是用来防止出现数据交叉感染的。”
符合监管的云
在考虑采用云服务时,企业首先要考虑的是自己的哪个业务流最适合采用云服务,并牢记符合监管部门的规章制度,如Sarbanes-Oxley法案。比如,财务信息一般被看做不适用于云计算,因为与其它方面的信息来说,有太多的监管制度围绕着财务信息。
Titterington认为,云服务供应商正好趁这个机会更详细的介绍他们的安全方案,因为客户提供的其它信息并没有那么严格的监管要求。
他说:“对于那些需要非常详细而严格审批报表的企业,供应商是很难拿出有关云服务的正规的符合审查要求的文书的。因此,作为云服务供应商,你对于这类企业的吸引力是很有限的。”
Quocirca的Longbottom表示,企业都需要根据规章和监管要求对自己的数据进行分类。数据的类型可以包括公开,商业,保密,以及机密。
之后就可以针对不同的信息制定策略了,比如哪类数据可以分布存放,是否可以被打印出来。在云计算方面,企业需要云服务提供商能够支持这种数据分类方式和对应的策略。
Longbottom说:“由于不受网络,平台或设备的限制,这种数据分类方法可以很好的适应云计算环境。”
Field Fisher Waterhouse的Ustaran认为,云服务供应商可以选择将欧洲数据保护条例作为他们的服务标准提供给客户,这样客户在与供应商洽谈前就知道他们的数据将会符合监管要求。
他补充说,企业和供应商需要找到一个既能满足数据安全和监管要求,又能实现足够的灵活性的平衡点。供应商将根据这个平衡点提供相应的服务。
Ustaran表示:“合同应该注重现实,而不是设立过多的法律条款,这样供应商将受到太多限制而无法为用户提供所需的服务。”
从云中取回数据
企业面对云计算时需要考虑的最后一方面内容是,如果以后决定更换云服务供应商,那么该如何从前一个供应商那里把自己的数据取回来。
Quocirca的Tarzey认为,企业要考虑的关于云计算的几件大事之一,就是企业数据在未来的情况。
企业应该考虑他们如何将数据从云架构中取回,并确保所有数据备份都从供应商的服务器中删除了。
Tittering ton表示:“如果你不能简单方便的将你的数据取回来,那么你就算是跟这个服务商绑定在一起了,不论他怎么样你都离不开了。这是任何企业都不愿意见到的。”
因此企业在选择云服务供应商时一定要将这个问题提出来,他说:“提出所有恰当的问题,并将所有的服务承诺列在合同中。”
责任编辑:Lily
评论表单加载中...
