現(xiàn)在隨著云計(jì)算的不斷進(jìn)步和發(fā)展，很多云計(jì)算供應(yīng)商也開(kāi)始作為第三方云服務(wù)商對(duì)用戶進(jìn)行各種云計(jì)算的服務(wù)，在云端，數(shù)據(jù)的安全性一直是用戶和企業(yè)管理者一直尤為關(guān)注的，很多企業(yè)也開(kāi)始不斷在考慮自己的數(shù)據(jù)安全戰(zhàn)略和規(guī)劃方面的問(wèn)題了。

云時(shí)代當(dāng)頭一棒只有40%企業(yè)注重云安全?

現(xiàn)在越來(lái)越多的企業(yè)選擇把自己的數(shù)據(jù)放在云端，這其中包括了公有云還有企業(yè)的私有云以及混合云，這也意味著數(shù)據(jù)和網(wǎng)絡(luò)安全成為了這些提供商目前最大的責(zé)任，很多企業(yè)也緊緊跟隨云計(jì)算浪潮，對(duì)云計(jì)算服務(wù)所需要的基礎(chǔ)設(shè)施以及業(yè)務(wù)應(yīng)用開(kāi)始進(jìn)行升級(jí)和研發(fā)，從而使得云端數(shù)據(jù)有一個(gè)安全性更高的保障。

但是無(wú)論企業(yè)將多少基礎(chǔ)設(shè)施和多少網(wǎng)絡(luò)服務(wù)和業(yè)務(wù)應(yīng)用程序轉(zhuǎn)移到云中，信息和網(wǎng)絡(luò)的最終責(zé)任仍然落在企業(yè)自己身上。這也是為什么企業(yè)需要精心制定云安全政策的原因。

根據(jù)Ponemon研究機(jī)構(gòu)2013年端點(diǎn)狀態(tài)調(diào)查顯示，盡管云服務(wù)在興起，只有40%的企業(yè)有正式的集中的云安全政策。這為管理員提供了充足的機(jī)會(huì)來(lái)加緊鎖定其公司的數(shù)據(jù)和網(wǎng)絡(luò)，上述數(shù)據(jù)我們不難看出直到云計(jì)算飛速發(fā)展的今天，仍然有很多企業(yè)沒(méi)有認(rèn)識(shí)到，或者說(shuō)仍舊沒(méi)有采取必要的數(shù)據(jù)安全管控措施和策略，對(duì)用戶的數(shù)據(jù)進(jìn)行保護(hù)，這一點(diǎn)是值得云計(jì)算提供商和眾多企業(yè)用戶警醒的。

云計(jì)算策略關(guān)鍵點(diǎn)

云計(jì)算安全其實(shí)是一個(gè)老生常談的話題了，要想使得數(shù)據(jù)更加安全，企業(yè)內(nèi)部云計(jì)算網(wǎng)絡(luò)的安全策略和解決方案就必不可少，安全服務(wù)供應(yīng)商N(yùn)eohapsis的首席安全顧問(wèn)Hazdra曾經(jīng)表示：“在事故發(fā)生后，企業(yè)才會(huì)意識(shí)到，我們沒(méi)有想到這樣的事情會(huì)發(fā)生。”

短短的一句話道出了云計(jì)算數(shù)據(jù)安全的重要性，的確，很多企業(yè)只有在數(shù)據(jù)受到威脅，數(shù)據(jù)丟失的時(shí)候才意識(shí)到部署云計(jì)算安全策略的重要性，但是到那時(shí)其實(shí)已經(jīng)為時(shí)已晚，理想情況下，企業(yè)應(yīng)該在部署云之前就創(chuàng)建自己的云安全政策。

在這些問(wèn)題中，重要的問(wèn)題是企業(yè)是否有明確的數(shù)據(jù)分類政策。企業(yè)擁有的敏感數(shù)據(jù)越多，這個(gè)問(wèn)題就更加重要，特別是在受到嚴(yán)格監(jiān)管的行業(yè)，例如醫(yī)療保健和金融服務(wù)公司。數(shù)據(jù)分類將幫助企業(yè)防止數(shù)據(jù)中心內(nèi)重要數(shù)據(jù)的意外上傳，這還可以幫助保護(hù)在網(wǎng)絡(luò)服務(wù)中穿行的數(shù)據(jù)。例如，Rackspace提供客戶端的方式來(lái)控制哪些類型的流量可以穿過(guò)虛擬網(wǎng)絡(luò)的哪些路徑，但企業(yè)首先需要對(duì)流量進(jìn)行分類。

當(dāng)然云計(jì)算安全不僅僅局限于數(shù)據(jù)分類，把數(shù)據(jù)分完類了，企業(yè)可能就要針對(duì)其他數(shù)據(jù)政策對(duì)云計(jì)算的各種應(yīng)用進(jìn)行部署，企業(yè)還要決定是否允許用戶直接訪問(wèn)到他們托管的云計(jì)算服務(wù)器上，這樣做的好處就是用戶在數(shù)據(jù)以及資料的上傳下載會(huì)變得更加容易，但是同樣，壞處就是數(shù)據(jù)安全收到威脅系數(shù)也就在不斷上升。

在確定現(xiàn)有政策與新的云政策重疊的地方，請(qǐng)檢查企業(yè)所考慮的云技術(shù)供應(yīng)商是否有符合你的政策。Hazdra表示：“如果云供應(yīng)商沒(méi)有企業(yè)想要的任何政策或控制，就需要考慮這個(gè)供應(yīng)商是否適用于本企業(yè)。”>>

找準(zhǔn)數(shù)據(jù)存放位置

數(shù)據(jù)的物理位置涉及法律和隱私問(wèn)題。云服務(wù)供應(yīng)商能否將企業(yè)的數(shù)據(jù)移到外面?國(guó)外?供應(yīng)商是否能同意將企業(yè)的數(shù)據(jù)保持在特定數(shù)據(jù)中心?如果供應(yīng)商政策不滿足企業(yè)的所有要求，那么企業(yè)的哪些數(shù)據(jù)應(yīng)該保持在企業(yè)內(nèi)部?從這些問(wèn)題來(lái)看，數(shù)據(jù)分類很重要。

對(duì)于企業(yè)存放在公有云當(dāng)中的數(shù)據(jù)，企業(yè)管理者肯定希望從云服務(wù)提供商那里獲得一手的數(shù)據(jù)安全資料，尤其是當(dāng)涉及SaaS時(shí)，這個(gè)問(wèn)題尤其重要，軟件開(kāi)發(fā)人員一直在努力提高其程序的性能，有時(shí)候可能與良好的安全性有沖突。有時(shí)候，開(kāi)發(fā)人員被允許關(guān)閉安全功能來(lái)實(shí)現(xiàn)所需的性能水平。企業(yè)需要決定安全和性能的優(yōu)先級(jí)。

此外，云服務(wù)基礎(chǔ)設(shè)施性能的高低是否與企業(yè)對(duì)于云計(jì)算投入成正比，也是企業(yè)用戶值得考慮的一點(diǎn)，因此，仔細(xì)考量云計(jì)算服務(wù)的各項(xiàng)標(biāo)準(zhǔn)以及優(yōu)先級(jí)就顯得特別重要，因?yàn)槠髽I(yè)需要確定優(yōu)先級(jí)，以及確保云供應(yīng)商的政策符合企業(yè)的期望。

如果企業(yè)現(xiàn)在正在考慮制定完全的云安全政策，需要想一想將授權(quán)或批準(zhǔn)哪些人來(lái)審核與云供應(yīng)商的協(xié)議，這將讓個(gè)別員工的工作更輕松，但也將讓企業(yè)數(shù)據(jù)處于風(fēng)險(xiǎn)之中。指定特定位置來(lái)為工作用途設(shè)置云服務(wù)，并考慮違反政策后的具體后果。>>

云計(jì)算安全誰(shuí)來(lái)買單

云計(jì)算的核心問(wèn)題是安全，那么在談到安全問(wèn)題誰(shuí)該負(fù)責(zé)，可能領(lǐng)云計(jì)算業(yè)界的很多朋友感到頭疼，確實(shí)，這點(diǎn)很難界定，是SaaS服務(wù)提供商，還是IaaS服務(wù)提供商，這點(diǎn)確實(shí)不好說(shuō)，但是，不管怎樣，對(duì)于這些提供商提供的安全策略以及數(shù)據(jù)信息來(lái)說(shuō)，企業(yè)用戶對(duì)于自己的數(shù)據(jù)安全也應(yīng)該負(fù)有一定的責(zé)任。

無(wú)論誰(shuí)在處理這些信息。如果你在尋找基礎(chǔ)設(shè)施供應(yīng)商，就必須確保供應(yīng)商能履行其承諾，無(wú)論是通過(guò)成績(jī)、檢查還是與云供應(yīng)商討論具體細(xì)節(jié)。隨著企業(yè)轉(zhuǎn)移到 SaaS中，執(zhí)行可接受使用、隱私、加密和數(shù)據(jù)挖掘政策仍然是企業(yè)的責(zé)任。CIO們還必須確保云供應(yīng)商遵循他們自己的政策。

云安全不是短期話題，云計(jì)算要想長(zhǎng)期發(fā)展以及受到個(gè)人和企業(yè)用戶的信賴和重視，數(shù)據(jù)安全問(wèn)題必須擺在首位，否則云計(jì)算的服務(wù)策略就好似逆水行舟，我們未來(lái)的工作和生活一定是離不開(kāi)云計(jì)算的，大量數(shù)據(jù)被放在云端，方便的同時(shí)安全問(wèn)題也不容小視。