云服務(wù)已成業(yè)界主流，大多數(shù)公司多多少少都會(huì)留下一些云足跡。技術(shù)界所有事情幾乎都一樣，安全問(wèn)題總是在事發(fā)之后才被擺上臺(tái)面。因此，既然公司企業(yè)現(xiàn)在都在跟云服務(wù)提供商合作，誰(shuí)來(lái)保證云安全便成了潛在的沖突問(wèn)題。

云托管公司Armor（原名fireHost）贊助了一項(xiàng)波耐蒙研究所名為《云安全：做正確的事》（“Cloud Security: Getting It Right”）的研究，目的就是探索該問(wèn)題，更好地摸清云安全態(tài)勢(shì)。該報(bào)告是對(duì)990位來(lái)自云端關(guān)鍵業(yè)務(wù)數(shù)據(jù)處理或云環(huán)境敏感商業(yè)數(shù)據(jù)存儲(chǔ)公司的IT職業(yè)經(jīng)理人和高管進(jìn)行調(diào)查訪問(wèn)的產(chǎn)物。

什么時(shí)候公司會(huì)從對(duì)安全負(fù)責(zé)的第三方提供商那里購(gòu)買(mǎi)云服務(wù)或云基礎(chǔ)設(shè)施呢？云服務(wù)提供商應(yīng)該保證環(huán)境和應(yīng)用程序安全？或者購(gòu)買(mǎi)方本身即使在云環(huán)境下也仍然要對(duì)自身安全負(fù)責(zé)嗎？又或者，雙方都有責(zé)任？如果兩方共同承擔(dān)安全責(zé)任，又該怎樣劃分哪個(gè)安全元素歸哪方負(fù)責(zé)呢？

《云安全：做正確的事》揭露了業(yè)界對(duì)這一問(wèn)題的擔(dān)憂。超過(guò)60%的受訪者表示，在評(píng)估云服務(wù)時(shí)，安全問(wèn)題極少甚至根本不在考慮范圍之內(nèi)。只有15%的人認(rèn)為軟件即服務(wù)應(yīng)用的安全責(zé)任落在公司自身的IT安全團(tuán)隊(duì)身上。

該研究報(bào)告的幾個(gè)重要發(fā)現(xiàn)如下：

“讓我覺(jué)得很擔(dān)憂的是，56%的受訪者不愿意為保障敏感數(shù)據(jù)在云環(huán)境下的安全而支付額外費(fèi)用。”Armor首席執(zhí)行官杰弗·席林說(shuō)。“我認(rèn)為我們錯(cuò)失了從網(wǎng)絡(luò)威脅手中拿回主動(dòng)權(quán)的機(jī)會(huì)，讓網(wǎng)絡(luò)威脅困擾了我們十幾年。虛擬化和云架構(gòu)給了好人們一個(gè)機(jī)會(huì)去感知和打造一個(gè)能將威脅置于不利地位的安全環(huán)境。然而，數(shù)據(jù)顯示，大多數(shù)人不愿意投資一個(gè)安全解決方案，注定要去重復(fù)我們?cè)谝跃W(wǎng)絡(luò)為中心的互聯(lián)網(wǎng)建設(shè)中已經(jīng)犯過(guò)的錯(cuò)誤。”