云計算的安全問題是一個熱門話題,它應該包括用來保護云計算相關的基礎架構、應用程序和數據安全的一系列控制措施,包含技術以及流程,市面上也有不少基于云計算的安全軟件或安全服務,盡管業界通常認為這不是來保護云計算的安全,也會使用云安全概念。
和云計算相關的安全問題要么在最終用戶方,要么在云計算服務提供方。云計算服務的提供者必須確保基礎架構的安全,這些包括數據中心的物理安全、虛擬硬件平臺的安全,如果提供應用程序服務,還需要保障應用程序的安全,在運行于這些云系統服務之上的客戶的數據安全保護方面,當然也會有,并且應該有一定的安全措施。
在云計算服務的客戶方,要確保運云提供商已經實施了適當的安全控制措施,以便能更好保障應用程序和數據的安全,由于虛擬化的原因,客戶方不需要接觸到公有云的數據中心和各類硬件設備,所以他們會擔心云廠商的硬件和操作系統的安全問題,此外還會擔心虛擬化軟件系統的安全、以及云服務商的安全能力問題。
總體來說,云計算安全會落到幾個要點:1.合約,2.隱私及安全,3.法律遵循。
在合約層面,云計算最終用戶會和服務商探討雙方的權利和職責、產權歸屬以及服務中止等問題。需要明確發生安全問題時雙方各需承擔的責任,不再續約合同的時候如何交還或遷移客戶的數據及應用程序等等,國內多數客戶對IT服務的概念接受度還不夠,相關法律不夠健全,法務人員也缺乏這方面的經驗,所以在合約層面想達成一致相對較難。
在隱私及安全層面,最終用戶必須有自己可控的帳戶管理系統來訪問云計算及相關的信息資源,當然云服務商要確保經過身份驗證的授權用戶可以訪問到云系統服務,包括應用程序和數據,在應用程序的安全方面,如果云服務廠商只提供計算平臺即服務,則用戶自己需負責應用程序的安全,如果云計算廠商提供了軟件即服務,那必須保證基于云計算的軟件系統的安全,舉例講,提供基于云計算的存儲或數據庫服務的,需保障數據存儲軟硬件平臺的安全。云計算廠商要提供用戶管理和針對數據安全的保護,不僅需要非常龐大的應用系統開發和運維力量,更需要及早將安全控管功能嵌入到云服務平臺和應用系統之中。
在法規遵循方面,國內針對云計算安全的法規尚未成型,但會參考服務外包相關的規定,通常涉密行業受到嚴格監管,如果要外包或使用云計算,相關的云計算服務也需受到同樣的監管要求,而且這些用戶還需得到監管機構的審批,這些規定無疑會成為公有云計算在國內重點行業普及的障礙。另外,法規對審計方面的要求也非常高,但是目前對云計算相關的安全審計標準、指導和措施都不夠成熟,另外云計算在建設初期往往只會關注功能的實現上,而忽略日志和記錄的維護,這也需要引起重視。
簡單總結一下,大型企業級用戶使用公有云計算的路子還很長,一方面是安全問題難以解決,另一方面,即便是使用私有云,大量數據和應用的遷移也會耗費多年的時間。而國內多地政府主導的公有云計算目前多側重于計算能力和平臺即服務上,往往是政績項目,在應用和安全方面明顯乏力;由互聯網大腕投資的云計算也多側重于網站建設及電子商務相關領域,顯然滿足不了大型組織的復雜企業應用要求,最終注定公有云計算服務只能停留在較低層面的計算平臺、空間租用或簡單的大眾化應用,也只能吸引來自非涉密行業、個人、家庭及中小企業買家的關注。
要解決上述云計算普及的最大障礙,關鍵是加強云計算服務商和潛在大客戶的安全意識教育,讓賣家了解如何提供安全的云計算服務,如何做好服務,讓買家了解如何挑選安全的云計算,如何管理外包服務,只有雙方都清楚了這些,才能可能進行下一步的溝通,才有合作的可能。
不能渴求立法和監管機構在產業尚未成型時便做出可操作性的規范或指南,向云計算的變革過程必定要經歷一段動蕩期,能獲得大量客戶并保留住這些客戶的云計算廠家,一定是那些能證明自己的安全能力可以保護客戶的應用程序和數據安全的,而要達到這一點,唯有從全體員工的信息安全意識教育抓起。
京公網安備 11010502049343號