Nhận thức Vs. Thực tế
Các chuyên gia CNTT thường coi đám mây không an toàn bằng hoặc kém an toàn hơn so với việc các ứng dụng và dữ liệu của họ nằm trong trung tâm dữ liệu của riêng họ. Nhưng nhận thức không nhất thiết phải phù hợp với thực tế.
Khi CA và Ponemon Institute thực hiện một nghiên cứu về hơn 900 chuyên gia CNTT vào tháng 5 năm 2010, họ nhận thấy rằng các chuyên gia CNTT tin rằng các rủi ro bảo mật khó khắc phục hơn trên đám mây, bao gồm cả việc đảm bảo vị trí thực của các tài sản dữ liệu và hạn chế quyền truy cập của người dùng có đặc quyền dữ liệu nhạy cảm. Cuộc khảo sát cho thấy rằng các nhân viên CNTT thừa nhận họ không có kiến thức đầy đủ về tài nguyên máy tính nào của họ được triển khai trên đám mây, chủ yếu là do những quyết định này được đưa ra bởi người dùng cuối bên ngoài bất kỳ đánh giá CNTT nào. Khoảng một nửa số người được hỏi thừa nhận rằng nhiều tài nguyên đám mây không được đánh giá về tính bảo mật trước khi triển khai trong tổ chức của họ.
Có lẽ tất cả sự phiền phức là về các ứng dụng Web không an toàn hơn là chính đám mây. Nhiều cách khai thác bảo mật Web hàng đầu như tập lệnh chéo trang web và chèn SQL là những thứ đã xuất hiện gần như từ khi máy chủ Web được phát minh, và vì một số lý do mà chúng vẫn còn gây khó chịu cho nhiều cài đặt của công ty. Trớ trêu thay, một báo cáo vào tháng 5 năm 2010 của Derek Brink thuộc Aberdeen Group cho thấy rằng người dùng các công cụ bảo mật Web dựa trên đám mây hoạt động tốt hơn so với các công cụ tương đương tại chỗ với ít sự cố phần mềm độc hại hơn.
Chắc chắn, có nhiều hoặc ít môi trường đám mây an toàn, cũng như có nhiều hoặc ít trung tâm dữ liệu cục bộ an toàn hơn. Liên minh bảo mật đám mây là một tổ chức phi lợi nhuận được thành lập để thúc đẩy việc đảm bảo an ninh giữa các nhà cung cấp điện toán đám mây. Liên minh thúc đẩy các phương pháp bảo mật tốt nhất và tạo ra sự đồng thuận xung quanh các vấn đề an ninh cụ thể. Được thành lập hai năm trước bởi một tập đoàn các nhà cung cấp và người quản lý CNTT người dùng cuối, nó đã tạo ra một số nhóm làm việc, chẳng hạn như những nhóm tập trung vào hoạt động của trung tâm dữ liệu, eDiscovery và quản lý vòng đời.
Bất kỳ ai mua sắm dịch vụ đám mây đều nên tìm kiếm câu trả lời rõ ràng và thuyết phục cho bốn câu hỏi:
Dữ liệu được mã hóa như thế nào, cả khi đang sử dụng và ở trạng thái nghỉ, khi được lưu trữ trong cơ sở hạ tầng đám mây?
Các kiểm soát truy cập chi tiết có được áp dụng không?
Cơ sở hạ tầng đám mây dư thừa bao nhiêu phần trăm?
Các ứng dụng Web được bảo vệ tốt như thế nào?
Chúng tôi xem xét từng điều này chi tiết hơn qua các trang sau.