一些云計(jì)算可能帶來(lái)安全風(fēng)險(xiǎn)，但并沒(méi)有用詳盡的例子來(lái)說(shuō)明危險(xiǎn)存在于何方，對(duì)于現(xiàn)在的云計(jì)算供應(yīng)商來(lái)說(shuō)，無(wú)論是法律問(wèn)題還是虛擬機(jī)的安全問(wèn)題并不是云安全的最大障礙。

　　正當(dāng)很多公司都考慮將應(yīng)用遷移到“云”中去時(shí)，安全專(zhuān)家在上周的BlackHat安全會(huì)議上提醒說(shuō)，云安全的第三方服務(wù)仍然很不理想。

　　持續(xù)的經(jīng)濟(jì)低迷使得云計(jì)算成為大熱的話(huà)題，急于節(jié)省成本的創(chuàng)業(yè)者與中小企業(yè)在互聯(lián)網(wǎng)上使用虛擬機(jī)，而大型企業(yè)將其如客戶(hù)關(guān)系管理等工作推給了像salesforce.com這樣的公司。不過(guò)專(zhuān)家警告說(shuō)，公司們需要更加謹(jǐn)慎地考慮將基礎(chǔ)設(shè)施轉(zhuǎn)移到“云”中去的安全隱患。

　　“很多小的公司使用云來(lái)節(jié)省資金，但是那些高端的用戶(hù)在使用云計(jì)算時(shí)完全不經(jīng)過(guò)審計(jì)，”來(lái)自安全公司SensePost的總監(jiān)HaroonMeer說(shuō)道，他曾經(jīng)帶隊(duì)主導(dǎo)了對(duì)Amazon的彈性計(jì)算云的研究。

　　他們的實(shí)驗(yàn)表明，公司經(jīng)常不會(huì)去掃描那些從第三方得來(lái)的應(yīng)用，這就很容易在公司的內(nèi)部網(wǎng)絡(luò)中創(chuàng)建一個(gè)特洛伊木馬。

　　類(lèi)似的例子有很多，最終他們?cè)贐lackHat大會(huì)上介紹了五點(diǎn)有關(guān)云安全的經(jīng)驗(yàn)：

　　1、云計(jì)算缺少法律保障

　　企業(yè)需要認(rèn)識(shí)到，在云中的數(shù)據(jù)沒(méi)有較高的法律標(biāo)準(zhǔn)，政府或者律師側(cè)重于發(fā)現(xiàn)，甚至?xí)褂脹](méi)有查證過(guò)的數(shù)據(jù)。

　　而且，云供應(yīng)商更關(guān)心的是保護(hù)自己，而不是客戶(hù)，iSecPartners公司的安全顧問(wèn)AlexStamos這樣表示，所以不要寄希望于法律方面的服務(wù)會(huì)有利于客戶(hù)。

　　“所有的云服務(wù)公司都有非常積極和訓(xùn)練有素的法律部門(mén)，”Stamos說(shuō)道，“當(dāng)您申請(qǐng)?jiān)品?wù)時(shí)同意這些協(xié)議，基本上就意味著您將一無(wú)所有?！币簿褪钦f(shuō)，如果有數(shù)據(jù)丟失，供應(yīng)商不會(huì)為你做任何事情。

　　2、不屬于您的硬件

　　如果企業(yè)想要測(cè)試一些東西，他們必須記得，自己不擁有任何硬件。雖然有些服務(wù)協(xié)議(如亞馬遜)可以指定客戶(hù)端進(jìn)行測(cè)試，但是能否獲得在上面運(yùn)行的軟件供應(yīng)商的許可又是一個(gè)關(guān)鍵。

　　3、強(qiáng)有力的政策和用戶(hù)教育

　　雖然云計(jì)算為企業(yè)提供存取數(shù)據(jù)、節(jié)省人力等好處，但是永遠(yuǎn)在線(xiàn)的服務(wù)器意味著黑客隨時(shí)可能都有可能威脅到公司。

　　4、不要相信虛擬機(jī)

　　當(dāng)從云供應(yīng)商那使用虛擬機(jī)時(shí)，用戶(hù)不應(yīng)該相信其上運(yùn)行的操作系統(tǒng)。Meer這樣表示。

　　SensePost的研究人員發(fā)現(xiàn)，一系列緩存、信用卡數(shù)據(jù)等的密鑰和一些潛在的惡意代碼可能會(huì)被隱藏在系統(tǒng)內(nèi)，然而卻沒(méi)有人去注意。他建議企業(yè)建立自己的鏡像供內(nèi)部使用，以保護(hù)自己。

　　5、重新考慮你的架設(shè)

　　在任何情況下，企業(yè)的技術(shù)管理人員需要重新考慮他們假設(shè)中的云。

　　例如，當(dāng)你在數(shù)據(jù)中心的一個(gè)虛擬機(jī)上部署應(yīng)用的時(shí)候，這些隨機(jī)產(chǎn)生的虛擬機(jī)可能并不會(huì)使得你的應(yīng)用生效。問(wèn)題出在，虛擬機(jī)的安全性與物理服務(wù)器相比差很多。