根據(jù)一項最新的安全威脅報告，2013年，在大多數(shù)企業(yè)中，基于云的服務應用會拋出新的問題，主要是關于數(shù)據(jù)連續(xù)性、數(shù)據(jù)安全和可靠性。

Sophos 2013安全威脅報告警示企業(yè)在采用基于云的服務時會承擔新的風險。在合同談判期間需要主要解決風險，使得數(shù)據(jù)在轉移到服務提供商的大型數(shù)據(jù)中心前就處理好。在一些案例中，基于云的服務增加了一個企業(yè)的受攻擊面和削弱既有的安全控制和策略，Chester Wisniewski表示，他是英國安全公司的高級安全咨詢師。

“和律師多做溝通，確保你的所有需求都符合，并要清晰的指出來，以便在事故發(fā)生時雙方都知道自己的責任，”Wisniewski表示。

在應用基于云的服務時，企業(yè)需要考慮三個問題：

1、如何阻止信息泄露？

Dropbox這樣的服務可以讓員工輕松的存儲和共享包含公司數(shù)據(jù)的文檔。同時公司首先嘗試嚴格限制第三方服務，比如Dropbox，現(xiàn)在，一些企業(yè)增加了控制，比如加密確保敏感數(shù)據(jù)不會落入不合適的人手中，Wisniewski說道。安全技術保護的數(shù)據(jù)應該適當?shù)牟渴?，同時對于用戶是易于使用的，他說。“你需要在數(shù)據(jù)進入云端之前知道數(shù)據(jù)的安全性，”Wisniewski說道。

Wisniewski相信基于云的服務會潛在的擴大企業(yè)打破數(shù)據(jù)安全性的方法。要提供員工用移動設備訪問數(shù)據(jù)或者遠程在云端鍵入到系統(tǒng)中的安全控制方法。蘋果Ipad應用可以提供加密和解密功能，提供另一個層面的保護。“財務、銷售和市場人員不應該是密碼天才，從而才能報數(shù)數(shù)據(jù)，”他說。

“你要清理所有知道的人員，他們可能就是無意的看一眼，”Wisniewski表示。

2、云提供商是否合適的將審查和安全標準放到合同需求中？

目標黑客學習業(yè)務合作伙伴，典型的是小型的公司，服務于大型企業(yè)，就能夠進入到主要的合作網(wǎng)絡中。航空與國防產(chǎn)業(yè)的部分制造商，運貨商和供應商都有可能落入黑客的十字線中，Wisniewski表示。

“罪犯知道小型企業(yè)是大企業(yè)的合作伙伴，會有松懈安全問題，但是仍舊是值得信賴的實體，”Wisniewski說道。“這是個實際的問題。”

合同安排應該包括能確保第三方系統(tǒng)被測試并且有適當?shù)陌踩刂?，他說。云提供商應該提供證據(jù)，證明符合安全標準，能提供機制允許獨立的測試。“有的公司有PCI評估，因此有一張紙展示了了法規(guī)遵從并不能足以衡量這些，”Wisniewski說。

數(shù)據(jù)保持、故障轉移、緊急事件回應程序、系統(tǒng)監(jiān)控和維護都應該在合同安排中明確表達。確保如果和云提供商的關系如果破裂，有辦法得到自己的數(shù)據(jù)并轉移到其他的提供商中。

“如果你非常多疑，你就不能達成以你的標準保護數(shù)據(jù)的協(xié)議，然后你需要做的就是在自己的數(shù)據(jù)中心運轉，”Wisniewski說，“使用云的企業(yè)的成本好處中大部分是分布式的，你不知道數(shù)據(jù)會去到哪里。這些都是合同控制的。”

3、你能阻止虛擬服務器快照（捕獲當前操作內(nèi)存圖像——包括所有的工作加密密鑰）嗎？

不使用公有云，很多公司正在使用虛擬機在自己的數(shù)據(jù)中心中設置私有云。這種方法被看做是減少成本和改善效能的最佳途徑，Wisniewski說道，但是招來了安全問題。

安全研究院已經(jīng)演示了極端的技術hypervisor攻擊，但是復雜的攻擊風險還是會被網(wǎng)絡罪犯使用，專家說道。相反，企業(yè)面對著虛擬機的潛在陷阱。配置錯誤和糟糕的側率會增加缺點，也會為黑客使用來訪問敏感數(shù)據(jù)。比如，每當虛擬快照捕獲一個系統(tǒng)狀態(tài)——備份系統(tǒng)的常用方式，通常密碼和加密密鑰就會在內(nèi)存中，因為他們必須能夠解密文件?？煺帐枪?jié)省時間的方式，也是很好的備份機制，但是需要安全的存儲，Wisniewski說道。

“你不得不在內(nèi)存中存儲加密密鑰，但是應該在內(nèi)存中模糊它們，”他說。