市場研究公司Forrester Research最新發(fā)表的題為《你的云計算有多安全?》的研究報告稱,云計算的安全漏洞需要比傳統(tǒng)的IT外包模式進行更嚴格的審查。多租戶(Multi-tenancy)和缺少可見性等問題令人擔憂。
Forrester分析師Chenxi Wang在這篇報告中稱,采用傳統(tǒng)的外包模式,客戶把自己的服務器放在其他人的數(shù)據(jù)中心,或者由服務提供商管理專門供那個客戶使用的服務器。但是,多租戶目前在云計算中占統(tǒng)治地位,客戶也許不知道自己的數(shù)據(jù)存儲在什么地方,或者這個數(shù)據(jù)是如何復制的。
Wang在報告中寫道,云計算分離了數(shù)據(jù)與基礎設施的關系,掩蓋了低水平操作的細節(jié),如你的數(shù)據(jù)在哪里和你的數(shù)據(jù)是如何復制的。多租戶在傳統(tǒng)的IT外部中是很少使用的,但是,在云計算中幾乎是必須使用的。這些區(qū)別引起了許多安全和隱私的問題,不僅影響到你的風險管理做法,而且還影響到在遵守法規(guī)、審計和電子證據(jù)等方面的法律問題評估。
軟件服務(SaaS)以及制作應用程序的基于Web的平臺、托管服務器或者存儲容量等技術的興起讓許多業(yè)內觀察人士評估云計算的好處和缺點。
Wang指出,美國電子隱私信息中心最近向美國聯(lián)邦貿易委員會投訴了谷歌,指控谷歌的安全和隱私控制是不充分的。
Wang引述波音公司首席安全設計師Steve Whitlock的話說,同許多其它公司一樣,我們看到了向云計算過渡的巨大潛力和好處。但是,我們也看到了風險、安全問題和兼容性問題。要使云計算成為一個協(xié)作的安全地方,這個社區(qū)還有許多工作要做。Wang說,雖然由于缺少可見性和控制,保證應用程序和數(shù)據(jù)在云計算中的安全是很困難的,但是,用戶必須要努力評估廠商的安全和隱私做法。
Wang在報告中寫道,企業(yè)必須考慮這些方面的問題:數(shù)據(jù)保護、身份管理、安全漏洞管理、物理和個人安全、應用程序安全、事件響應和隱私措施。例如,用戶應該要求了解廠商的加密系統(tǒng)、廠商如何保護靜止的和移動的數(shù)據(jù)的安全、廠商提供給審計者的說明文件、身份識別和接入控制程序、廠商是否有適當?shù)臄?shù)據(jù)隔離和數(shù)據(jù)泄漏保護措施。
Wang在報告中寫道,還有許多要解決的問題,不僅是云計算的安全問題,而且還有可靠性問題。要避免這些缺陷,客戶需要一個服務級協(xié)議,具體規(guī)定一些詳細的責任條款和承擔的后果。事實是法律對待云計算中的數(shù)據(jù)域對待現(xiàn)場的數(shù)據(jù)是不同的。這使有關責任的談判更加復雜。