对云计算的顾虑

【 安全风险预警： 相比Google Apps，人们似乎更信任微软OFFICE 】

尽管使用云计算服务的好处听起来如此诱人，但更多人却抱以观望的态度。这种谨慎来自于对安全问题的考虑。云计算意味着数据被转移到用户主权掌控范围外的机器上，也就是云计算服务提供商的手中。那么，如何保证这些数据的安全性?如何能相信服务商不会将数据出卖给商业竞争对手呢?这样的担心从来没有停止过。在2007年初，Google发布Google Apps服务(一种免费提供的简化office软件包，数据在互联网上存储与处理)，就有许多分析者提出质疑：使用者怎么能确定数据在Google那里是安全的?

服务商解释说，对云计算过程里的数据安全问题，“完全不必担心”。因为数据在集群上被分解为散乱的状态，就连服务器也不太理解他们，想要破译与还原数据难度非常高。作为云计算的主要推动者，发布Blue Cloud计划的IBM公司还表示，在2008年，会制定更多的相关流程与标准来保证客户的数据安全。

但这仍然无法完全打消人们的疑虑，毕竟，在一个信息为王的时代里，哪怕是数据碎片的泄露也是危险的。只要存在数据被还原泄露的可能性，云计算服务就会被高安全要求级别的客户拒之门外。

换言之，当使用者的计算机真的仅仅成为了互联网服务的接入口，当数据的处理离使用者越来越远，对服务提供商“Don’t Be evil”的要求就越来越高，使用者真的能如此信赖道德标准的力量吗? 安全问题将始终是云计算推广发展中绕不开的一个坎。

 

【安全问题 ： 云安全 】

 

1、特权用户访问

若使用云计算，你的机密数据将由贵公司外面的人员来处理，所以可想而知：不是贵公司的员工完全可以访问这些数据。
云计算马来西亚首都吉隆坡标志性建筑
马来西亚首都吉隆坡标志性建筑

2、法规遵从

在《萨班斯－奥克斯利法案》当道的时代，公司有责任实施严格的数据监控和归档级别。即便一家公司与外部的云计算服务提供商签订了合同，这些法规仍要求这家公司负有责任。云计算服务提供商应当提交审计和安全方面的证书，确保对方能够履行约定的承诺。 “如果云计算提供商不愿意或者没能力做到遵从法规，这表明客户只能用它们来处理最不重要的功能。”

3、数据位置

若使用云计算，你不知道自己的数据到底存放在什么地方。服务器可能建在马来西亚、加拿大或者美国的新泽西州，说不定同时建在上述三个地方。

4、数据隔离

当然，云计算提供商会使用SSL来保护传输中的数据，但当贵公司的数据位于存储设备中时，可能与其他公司的数据共用一只“虚拟保管箱”。贵公司的数据与别人的数据经过适当隔离吗？
提供商可能会夸耀自己的加密技术如何强大、安全。你会听到密钥长度有多长、采用哪种深奥的加密算法。不过，如果你的数据能够被提供商读取，那么可以这么认为：数据也会被别人读取。

5、可用性

从理论上来说，如果你使用云计算服务提供商，没有必要担心自己的数据会消失――这些提供商很容易采用冗余机制把你的数据复制到众多地方，这样万一系统崩溃，仍可以高枕无忧。但你的员工能不能随时访问完成工作所需的数据呢？比方说，要是虚拟管道受到堵塞会怎样？要是提供商自身出现的某种内部故障导致你无法访问自己的关键数据，又会怎样？
忠告：“公司应当为任何重要的IT工作负载确定服务级别方面的要求，并且需要提供商签订服务级别协议，从而确保合同里面写明惩罚条款，以防出现服务级别协议未得到遵守的情况。”

6、灾难恢复
云计算互联网上恶意软件横行这给了360安全卫士存在的理由
互联网上恶意软件横行这给了360安全卫士存在的理由
重要问题：你的提供商有能力进行全面恢复吗？需要多少时间才能完成全面恢复？因为他不只为你一家服务。

7、调查支持
开展内部的法律调查向来就不是容易的事，因为这需要清查可能散布在实体位置和虚拟位置的大批文档。如果你使用云计算服务提供商，那么开展这种调查更是困难重重：许多客户的数据也许散布在地点不断变化的一系列数据中心。

8、存活能力
你的提供商会被收购吗？或者更糟糕的是，会破产吗？如果是这样，对方需要多久才能把数据交还给你、而且采用的格式让你可以导入到另一家提供商的基础设施上？

9、降低风险方面的支持

你的员工开始使用外部提供商时，会经历一个学习过程。这家提供商提供的界面用起来多容易？提供商是否帮助你的管理人员设置监控政策？又采取了哪些措施来防范恶意软件和网络钓鱼？

 

=============================================

参考资料：

 

云计算目前已经发展出了云安全 和云存储 两大领域。如国内的瑞星 和趋势科技 就已开始提供云安全的产品；而微软、谷歌等国际头更多的是涉足云存储领域。