《企業(yè)網(wǎng)D1Net》11月29日訊 在2011年，索尼曾遭遇數(shù)據(jù)泄露，涉及其云端數(shù)以千萬計(jì)客戶的信息，也出現(xiàn)過極少數(shù)從云中泄露個(gè)人身份信息的其他泄露事故，安全問題仍然是企業(yè)部署云計(jì)算資源的主要抑制，一名Gartner分析師稱，最大的問題不是在云環(huán)境中數(shù)據(jù)可能被破壞，而是可能出現(xiàn)云中斷，從而導(dǎo)致數(shù)據(jù)丟失。

Heiser表示，現(xiàn)在更普遍的是云中斷和數(shù)據(jù)丟失，在這方面，企業(yè)的準(zhǔn)備工作非常欠缺。

讓我們回顧一下過去幾年的重大中斷事故。市場領(lǐng)先的云服務(wù)供應(yīng)商亞馬遜Web服務(wù)在過去兩年經(jīng)歷了三次重大中斷。在經(jīng)歷2011年4月的彈性計(jì)算云(EC2)中斷后，一定程度上的數(shù)據(jù)已經(jīng)無法挽回。Evernot在2010年丟失了6000名客戶的數(shù)據(jù)，而Carbonite在2009年丟失了部分客戶的備份數(shù)據(jù)。

Heiser指出，很多這些中斷事故是由系統(tǒng)升級中存在的錯(cuò)誤造成的。例如，亞馬遜表示其最近的數(shù)據(jù)中斷是因?yàn)榘惭b在其數(shù)據(jù)中心的心的硬件而造成的。

亞馬遜的中斷導(dǎo)致Reddit、Imgur和其他流行網(wǎng)站被關(guān)閉，亞馬遜在事故后進(jìn)行了善后工作。

Heiser在本周Gartner主辦的在線研討會上表示，這些問題一遍又一遍地出現(xiàn)，所以它們很可能會再次出現(xiàn)。盡管這是云用戶最關(guān)注的問題之一，但根據(jù)Gartner最近的調(diào)查顯示，只有一半的企業(yè)部署了程序來評估期業(yè)務(wù)連續(xù)性流程。他補(bǔ)充說，安全泄露問題不應(yīng)該被忽略，但更為緊迫的問題是圍繞在業(yè)務(wù)連續(xù)性上。

Heiser表示，云計(jì)算行業(yè)正在慢慢解決這些問題，但是正在試圖推動(dòng)云安全改進(jìn)的供應(yīng)商、用戶和第三方機(jī)構(gòu)應(yīng)該要做得更多。

在服務(wù)水平協(xié)議(SLA)中，供應(yīng)商一直不愿意解決數(shù)據(jù)丟失的安全可恢復(fù)問題。Heiser表示：“大家都在抱怨說，云服務(wù)供應(yīng)商對于他們具體如何保護(hù)客戶一直含糊其辭。”一些供應(yīng)商表示，他們不會公布這方面的信息，是因?yàn)檫@樣做可能會存在一定的安全風(fēng)險(xiǎn)。供應(yīng)商多次聲稱能夠提供高水平的數(shù)據(jù)可用性和保密性，但Heiser表示，他們并沒有提供相關(guān)證據(jù)，來讓客戶驗(yàn)證其說辭。

在這方面，用戶應(yīng)該更加積極主動(dòng)。用戶需要做的第一件事情是分類數(shù)據(jù)，標(biāo)記真正需要保護(hù)的數(shù)據(jù)。不完整或者不存在的數(shù)據(jù)分類是一個(gè)常見的問題。Heiser表示：“如果用戶不知道特定數(shù)據(jù)所需要的與其他數(shù)據(jù)不同的安全要求，這將很難評估供應(yīng)商是否能夠提供足夠的安全性。”

第三方組織正在努力為這些方面制定標(biāo)準(zhǔn)和認(rèn)證，但Heiser表示，目前這方面仍然很欠缺。例如，云安全聯(lián)盟采取了廣泛的措施來解決各種問題，但這些措施不夠深入到解決特定領(lǐng)域的根本問題。

FedRAMP是美國聯(lián)邦政府對其使用的每個(gè)云計(jì)算服務(wù)供應(yīng)商列出的共同安全標(biāo)準(zhǔn)程序，但它仍然處于早期階段，要等到2014年才能夠使用。Heiser表示，“我們已經(jīng)開始了解我們需要什么，但我們需要做更多的工作：標(biāo)準(zhǔn)控制、評估做法和達(dá)成全球共識。”企業(yè)處于最佳位置，他們最能夠?qū)?yīng)商施加壓力，讓供應(yīng)商對這些問題做到盡可能的透明。

企業(yè)云用戶應(yīng)該做些什么

選擇云控制‘戰(zhàn)役’。宏觀趨勢是越來越多的數(shù)據(jù)將出現(xiàn)在越來越多的最終用戶設(shè)備中，這讓控制數(shù)據(jù)變得更加困難，同時(shí)創(chuàng)造更多漏洞。通過數(shù)據(jù)分類，企業(yè)可以優(yōu)先考慮需要高度安全保護(hù)的數(shù)據(jù)。對于大多數(shù)企業(yè)而言，極為重要的數(shù)據(jù)將低于總數(shù)據(jù)的20%，甚至可能低至5%或者更少。對于這些數(shù)據(jù)，企業(yè)應(yīng)該“拼死保護(hù)”，采用加密、令牌化、數(shù)據(jù)丟失防御系統(tǒng)或者將這些數(shù)據(jù)保存在企業(yè)內(nèi)部，而不是公共云中。還應(yīng)該部署殺毒軟件、反惡意軟件和其他安全保護(hù)以及控制來確保其他數(shù)據(jù)不會太容易受到攻擊。