很遺憾,今天我們依然在讨論雲計算是否安全的問題。雖然包括gartner、sap等機構或者企業都在告訴我們已經有70%多的企業或個人使用者已經信賴雲計算,但對于這個問題,另外的不到30%的人的聲音有的時候反而顯得更加的刺耳。
其實,為解決雲端安全性的問題,不管是iaas、paas還是saas都在進行着諸多的安全努力:
1、資料在傳輸中的加密,如果通過網際網路傳輸則通常采用安全傳輸層(ssl)連接配接。
2、資料在雲端存儲的加密,比如256位的aes加密;
3、資料在恢複過程中的加密,比如各種密鑰;
……
關于密鑰,這裡需要着重強調一下,絕大多雲服務供應商不為使用者提供密鑰管理,這樣做的好處在于加密密鑰在雲端是無法使用的。不過采用加密密鑰管理後,使用者自己需要承擔風險,如果密鑰丢失,雲服務供應商也無法提供任何幫助來擷取雲端的資料。
是以,找到一個靠譜的雲服務商才是最關鍵的所在。以資料備份saas應用多備份為例,靠譜的服務商不僅能在資料傳輸過程中提供保護,在存儲端也要有相應的保 護措施,比如備份過程中的資料保護。除此之外,你還需要詢問并調查雲服務提供商最近是否發生過安全問題。如果他們發生過,要知道他們采取了哪些措施避免該 問題重複發生。
資料安全一直都是一個敏感話題,斯諾登等事件的出現更是讓安全問題進一步更新,國人對資訊安全的注重程度更深一層。雲安全聯 盟曾總結了雲端的九大安全威脅,其中包括:資料洩露、資料丢失、賬号劫持或服務流量劫持、不安全接口/應用程式接口、拒絕服務攻擊、内容員工破壞、濫用雲 服務、不充分的盡職調查、共享技術中的漏洞等。
雖然這個總結誕生于兩年前,但這些威脅并沒有随着時間的流逝而消失,不過,另一方面,這些威 脅也為資訊安全平台的國産化赢來了一個新的發展契機。資訊安全需要一個統一的安全管理平台,現在的安全解決方案是比較分散的、獨立的一些方案,未來需要一 個統一的安全政策,統一的安全架構,尤其對移動終端安全管理的平台來承擔資訊安全的重任。
在談論雲計算安全性問題的時候,現任aws企業市 場戰略總監的stephenorban表示說,安全已經成為當今網際網路最為廣泛的一個議題,它滲透到了it事務中的方方面面。在我們不斷努力的同時,也遺 憾的發現“安全”已經成了一個能夠迅速扼殺任何創新型努力的詞彙。最為明顯的一個例子就是,在雲計算發展的早期階段,那些對雲技術了解不深的人們總會就其 安全性水準問東問西。相較于更為重要的、如何利用這項新技術幫助企業自身實作商業價值,他們往往首先把安全性作為技術演進的最大障礙。
本文作者:程小微
來源:51cto