理解云計算的風險所在是保護以云計算為中心的企業的關鍵。在本文中,Ravila Helen White解釋了云計算風險的三個必知內容。
云計算的高速發展也為試圖重新聚焦關鍵業務目標的企業帶來了許多利好,例如提高產品上市的速度、增加企業競爭的優勢以及降低資本和/或運行的開支等等。
通常來說,對諸如軟件即服務[注](SaaS[注])或基礎設施即服務[注](IaaS[注])的云計算技術進行投資就能夠降低對企業內部傳統信息技術部門的服務需求。而由企業業務部門管理(例如培訓、人力資源、工資和醫療管理等)的服務也會隨著云計算的應用而逐步減少。
雖然投資資本與運營運行的成本有所降低,但是由于黑暗網絡中信息經紀人的興起云計算的風險也有所增加。這些惡意的組織會交易和銷售包括個人身份、金融信息乃至知識產權在內的所有信息。
從傳統意義上來說,只有保存在公司內部的信息才是安全的,因此實施云計算必然會加劇信息泄露的風險。此外,那些專門從事信息中介業務的人士也讓云計算供應商成為了他們的目標,因為他們非常了解他們所控制寶庫的相關信息。為了管理好云計算風險,首先了解風險到底是什么將是非常重要的。
云計算風險的來龍去脈
所謂風險,也就是指我們不希望發生的事件發生的概率。在信息安全領域,風險就是一個惡意或非惡意暴露機密信息事件、或威脅數據一致性以及干擾系統和信息可用性事件發生的概率。任何接入互聯網的組織都處于風險之中,他們都應考慮黑暗網絡的彈性特性和擴展私有云[注]計算和公共云計算網絡的能力。數據交換有合法的和非法的,而一家企業的互聯網接入就為合法的數據交換(例如電子郵件、VPN以及FTP等)以及諸如惡意軟件、信息收集和竊聽等敵對性的數據交換提供了的信息傳輸回路。
敵對數據交換并不是一家組織或者甚至個人所希望進行的數據交換。通常情況下,其結果就是等待恢復的停機時間、收入損失、數據丟失、影響人力資本以及相關名譽受損。如果某個組織是一個受管制行業中的一員,那么這個組織就有可能由于發生敵對事件的原因而受到處罰。即便企業沒有受到相關處罰,但是他們也無法承受因發生安全事件丑聞而造成客戶流失和商業合作伙伴失去信心這樣的嚴重后果。
一直以來,云計算所倡導的就是:我們可以做得更好,更便宜。你來關注你的核心業務問題,而我們來更具成本效益地管理你的技術并保護你的數據。雖然這有可能是真的,但是云計算供應商也與其他企業面臨著相同的挑戰。鑒于其特殊的業務模式,云計算供應商可能比一家典型企業面臨著更多的挑戰。例如(+微信關注網絡世界),云計算供應商可能會迎合一個利基行業,如信用卡業。如果大家都知道這家云計算供應商掌握了所有客戶持有的信用卡信息,那么它也就會成為黑暗信息經紀人的目標。信息經紀人會兜售客戶身份或信用卡或者制造偽造的信用卡,而一個成功的黑客可能會從中受益。
云計算供應商的風險還存在于使用云計算服務的客戶中。無論客戶的物理、邏輯和虛擬隔離和細分的量有多少,云計算基礎設施都共享了共同的能源、硬件、應用程序以及網絡資源。當云計算服務供應商提供SaaS服務時,它會信任企業用戶并讓用戶自己確保其用戶ID和密碼的安全性。與之類似,用于訪問SaaS的計算資源也必須是安全的。如果企業用戶遭到入侵,諸如用戶ID和密碼等信息被泄露,那么一個經驗豐富的信息收集者就有可能會憑此訪問SaaS應用程序并確定訪問其他客戶數據的方法。頃刻之間,其它企業用戶的云計算環境的保密性、完整性以及可用性都岌岌可危了。
京公網安備 11010502049343號