感知与。现实
IT 专业人员通常认为云不安全,甚至不如将应用程序和数据驻留在自己的数据中心内。但看法不一定与现实相符。
早在 2010 年 5 月,CA 和 Ponemon Institute 就委托对 900 多名 IT 专业人员进行了一项研究,他们发现 IT 从业者认为云中的安全风险更难减少,包括保护数据资产的物理位置和限制特权用户访问敏感数据。调查发现,IT 人员承认,他们对将哪些计算资源部署在云中并不完全了解,主要是因为这些决定是由最终用户在任何 IT 审查之外做出的。大约一半的受访者承认,许多云资源在其组织内部署之前没有进行安全评估。
也许所有的大惊小怪更多的是关于不安全的 Web 应用程序而不是云本身。许多顶级的 Web 安全漏洞,如跨站点脚本和 SQL 注入,几乎从 Web 服务器发明以来就已经存在,并且由于某种原因,它们仍然困扰着许多企业安装。具有讽刺意味的是,Aberdeen Group 的 Derek Brink 在 2010 年 5 月的一份报告显示,基于云的 Web 安全工具的用户在恶意软件事件较少的情况下比本地同类产品表现得更好。
当然,有或多或少安全的云环境,就像有或多或少安全的本地数据中心一样。云安全联盟是一个非营利组织,旨在促进云计算供应商之间的安全保障。该联盟促进最佳安全实践并围绕特定安全问题达成共识。它由供应商和最终用户 IT 经理组成的联盟于两年前成立,已经创建了多个工作组,例如专注于数据中心运营、电子发现和生命周期管理的工作组。
任何购买云服务的人都应该为以下四个问题寻求清晰且令人信服的答案:
当存储在云基础设施中时,数据如何加密,无论是使用中的还是静止的?
是否有细粒度的访问控制?
有多少云基础架构是冗余的?
Web 应用程序的保护程度如何?
我们将通过以下页面更详细地了解其中的每一个。