棘手的问题:Gartner总结了7个云计算安全风险

总部位于康涅狄格州斯坦福德的分析公司称，云计算充满了安全风险Gartner．根据该研究机构今年6月发布的一份题为《聪明的客户会提出棘手的问题，并考虑在选择云供应商之前从中立的第三方获得安全评估》的报告评估云计算的安全风险．

云计算具有“独特的属性，需要在数据完整性、恢复和隐私等领域进行风险评估;以及对电子发现、监管合规和审计等领域的法律问题的评估，”高德纳(比较安全产品)表示。

亚马逊的EC2服务和谷歌苹果的App Engine就是云计算的例子。Gartner将云计算定义为一种计算方式，即“通过互联网技术向外部客户提供大规模可扩展的it功能。”

客户必须要求透明度，避免供应商拒绝提供安全程序的详细信息。高德纳建议问以下相关问题:

政策制定者、架构师、编码员和操作员的资格;

风险控制流程和技术机制;而且

为验证服务和控制流程是否按预期运行而进行的测试级别，以及供应商是否能够识别出未预料到的漏洞。

以下是Gartner表示客户在选择云供应商之前应该向供应商提出的7个具体安全问题。

1.特权用户访问．在企业外部处理的敏感数据带来了固有的风险，因为外包服务绕过了it部门对内部程序施加的“物理、逻辑和人员控制”。尽可能多地获取管理数据的人员的信息。Gartner表示:“要求提供商提供有关特权管理员的雇佣和监督，以及对他们访问权限的控制的具体信息。”

2.法规遵从性．客户最终要对自己数据的安全性和完整性负责，即使这些数据是由服务提供商持有的。传统的服务提供商要接受外部审计和安全认证。根据高德纳的说法，拒绝接受这种审查的云计算提供商“发出的信号是，客户只能将它们用于最琐碎的功能”。

3.数据位置．当你使用云时，你可能不知道你的数据到底托管在哪里。事实上，您甚至可能不知道它将存储在哪个国家。Gartner建议，询问提供商是否会承诺在特定的司法管辖区存储和处理数据，以及他们是否会代表客户做出遵守当地隐私要求的合同承诺。

4.数据隔离．云中的数据通常与来自其他客户的数据共享在一个环境中。加密是有效的，但不是包治百病。Gartner建议:“找出隔离静止数据的方法。”云提供商应提供证据，证明加密方案是由经验丰富的专家设计和测试的。Gartner表示:“加密事故会使数据完全无法使用，即使是正常的加密也会使可用性复杂化。”

5.复苏．即使你不知道你的数据在哪里，云提供商也应该告诉你，如果发生灾难，你的数据和服务将会发生什么。Gartner表示:“任何不跨多个站点复制数据和应用基础设施的产品都很容易彻底失败。”询问您的提供商是否“能够进行完全恢复，以及需要多长时间”。

6.调查的支持．Gartner警告称，在云计算领域，调查不适当或非法的活动可能是不可能的。“云服务尤其难以调查，因为多个客户的日志和数据可能位于同一地点，也可能分布在不断变化的主机和数据中心。如果你不能得到支持特定形式调查的合同承诺，以及供应商已经成功支持此类活动的证据，那么你唯一安全的假设是调查和发现请求将是不可能的。”

7.长期生存能力．理想情况下，您的云计算提供商永远不会破产或被更大的公司收购和吞并，但您必须确保即使在这种情况下，您的数据仍然可用。Gartner表示:“询问潜在的供应商，你将如何取回数据，以及数据的格式是否可以导入到替代应用程序中。”

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。