Gartner研究副總裁Jay Heiser：想達到高水準的云計算安全性，依然艱苦卓絕，需要漫長的攀登與努力。他表示，擁有敏感數(shù)據(jù)的商業(yè)機構(gòu)與政府機構(gòu)看起來似乎更傾向于暫時不采用基于云的服務(wù)，直到安全境況得到改善。

“與其他小型業(yè)務(wù)相比，金融行業(yè)對云計算采取更加保守的態(tài)度”，昨天在與Gartner客戶的在線闡述中，Heiser如此說到。關(guān)于“為最小化云計算安全風險做準備”，Heiser認為，如果僅僅是因為擁有更多的靈活性和更少的依賴服務(wù)提供商能力，那么使用IaaS建立安全底線要比使用SaaS在某種程度上更簡單。但總的來說，云服務(wù)提供商并不能像他們應(yīng)當關(guān)心的諸如業(yè)務(wù)持續(xù)性、災難恢復實踐等事情那樣對自己定位那么清晰，這導致他們難以贏得客戶的信任。

“Gartner的客戶幾乎全都失望”于他們視作云計算合約的不完整性，他們沒能看到期望的安全性的專業(yè)水準，Heiser說，“云合約是不完整的”，他強調(diào)這個觀點。

發(fā)生在云和客戶間的定義技術(shù)義務(wù)和法律義務(wù)的斗爭，作為話題之一，已經(jīng)被聯(lián)邦政府在其FedRAMP項目中采用，該項目旨在為供政府使用的云服務(wù)提供商提供認證；斗爭也同樣被云安全聯(lián)盟（CSA）組織采用，該組織旗下一些工作組耗費巨大努力來定義行業(yè)標準。

Heiser同時指出美國注冊會計師學會（AICPA）已將其原有的SAS70認證更換為服務(wù)提供商稱作是SOC1的認證，現(xiàn)在又出現(xiàn)了SOC2和SOC3，也表明了服務(wù)提供商系統(tǒng)的信任和安全。

但是盡管我們對這些標準化的努力表示鼓掌，云計算安全性效果顯著，Heiser稱FedRAMP，這個預計將于明年正式運營的項目，和CSA標準一道，仍然只是早期的計劃，他們對云安全的影響力可能需要過幾年才能顯現(xiàn)。對于ISO/IEC27017云安全標準和27018云隱私標準，Heiser持同樣的觀點。所有這些云計算安全的努力都是值得的，但他們都需要在1-5年的發(fā)展時間，才可能成熟。

同時，企業(yè)和政府已經(jīng)縮減了他們的安全需求，并開始評估潛在的云服務(wù)和這些服務(wù)的安全選項。Heiser稱著眼點應(yīng)該在于尋找用于服務(wù)的數(shù)據(jù)的敏感度，企業(yè)不得不自我提問，如果數(shù)據(jù)丟失會產(chǎn)生怎樣的影響，安全是否是關(guān)鍵的競爭價值，數(shù)據(jù)是否符合常規(guī)擔憂等，“最終歸結(jié)為確定服務(wù)的合適性 ”。

現(xiàn)階段最成熟有效的云計算安全控制方法與身份及訪問管理機制、基于服務(wù)的加密措施有關(guān)，他承認，但云客戶不得不咨詢加密鑰匙的管理和存儲方法，并且需要詢問是否風險可接受，他注釋道?；诰W(wǎng)關(guān)的加密，或者有時候被稱作是代理網(wǎng)關(guān)或管理，也是另外一個選項，不過他補充說到“這種方式經(jīng)常快速變化”。取證調(diào)查在當前并不那么有效，考慮到總體安全控制，想要看到一套云計算的“堅實技術(shù)”很可能需要耗費5-10年時間。

云計算的經(jīng)濟吸引力十分強烈，有時也的確出現(xiàn)經(jīng)濟利益大于潛在的風險。Gartner正建議其客戶在總體上允許將低敏感度的數(shù)據(jù)視作是云服務(wù)；但如果數(shù)據(jù)屬于“中等”敏感度范圍的話，進行風險評估就十分迫切了。如果數(shù)據(jù)屬于高敏感性，則不應(yīng)該被視作是可行的或可允許的云服務(wù)。

這項程序也意味著確保企業(yè)管理者知道這些事情，意識到他們“擁有”數(shù)據(jù)，并了解與云計算相關(guān)的風險的最新情況。

雖然如此，云服務(wù)提供商極少提供免于黑客攻擊的補償。即便當客戶基本進入到一種供應(yīng)鏈云時，在了解他們確實如何運營這方面，SaaS比IaaS保留了更多的“神秘色彩”。既然一種風險是云服務(wù)提供商有可能破產(chǎn)倒閉，就需要確保提供商可以返回數(shù)據(jù)或者對數(shù)據(jù)備份有應(yīng)急計劃。當Mumboe SaaS兩年前破產(chǎn)時，他們給客戶兩周時間重新拿回他們的數(shù)據(jù)，Heiser提到。這為我們敲響了警鐘，云有時候的確會消失不見，為防止出現(xiàn)此類“傾盆大雨”，我們需要早作計劃。

即使是在當前云計算中也家喻戶曉的名字亞馬遜、谷歌和微軟，也發(fā)生過數(shù)據(jù)消失的例子，至少發(fā)生一次，或甚至再沒能回來。Heiser說，“數(shù)據(jù)恢復不是那么簡單的程序”，“把服務(wù)丟失和有效性丟失列入名單的前列吧”，實時的服務(wù)更新能導致廣泛的數(shù)據(jù)損毀，Heiser最后指出。

針對應(yīng)用、服務(wù)、服務(wù)器、存儲網(wǎng)絡(luò)和安全，IT管理人員已經(jīng)習慣于他們控制著他們應(yīng)該在企業(yè)內(nèi)部做些什么。他們需要充分意識到，對靈活性的適應(yīng)程度在本質(zhì)上是不會出現(xiàn)在云計算中的。

本文作者Ellen Messmer是Network World的高級編輯，文章涵蓋信息安全領(lǐng)域的動態(tài)與技術(shù)趨勢。