市场研究公司Forrester Research最新发表的题为《你的云计算有多安全?》的研究报告称,云计算的安全漏洞需要比传统的IT外包模式进行更严格的审查。多租户(Multi-tenancy)和缺少可见性等问题令人担忧。
Forrester分析师Chenxi Wang在这篇报告中称,采用传统的外包模式,客户把自己的服务器放在其他人的数据中心,或者由服务提供商管理专门供那个客户使用的服务器。但是,多租户目前在云计算中占统治地位,客户也许不知道自己的数据存储在什么地方,或者这个数据是如何复制的。
Wang在报告中写道,云计算分离了数据与基础设施的关系,掩盖了低水平操作的细节,如你的数据在哪里和你的数据是如何复制的。多租户在传统的IT外部中是很少使用的,但是,在云计算中几乎是必须使用的。这些区别引起了许多安全和隐私的问题,不仅影响到你的风险管理做法,而且还影响到在遵守法规、审计和电子证据等方面的法律问题评估。
软件服务(SaaS)以及制作应用程序的基于Web的平台、托管服务器或者存储容量等技术的兴起让许多业内观察人士评估云计算的好处和缺点。
Wang指出,美国电子隐私信息中心最近向美国联邦贸易委员会投诉了谷歌,指控谷歌的安全和隐私控制是不充分的。
Wang引述波音公司首席安全设计师Steve Whitlock的话说,同许多其它公司一样,我们看到了向云计算过渡的巨大潜力和好处。但是,我们也看到了风险、安全问题和兼容性问题。要使云计算成为一个协作的安全地方,这个社区还有许多工作要做。Wang说,虽然由于缺少可见性和控制,保证应用程序和数据在云计算中的安全是很困难的,但是,用户必须要努力评估厂商的安全和隐私做法。
Wang在报告中写道,企业必须考虑这些方面的问题:数据保护、身份管理、安全漏洞管理、物理和个人安全、应用程序安全、事件响应和隐私措施。例如,用户应该要求了解厂商的加密系统、厂商如何保护静止的和移动的数据的安全、厂商提供给审计者的说明文件、身份识别和接入控制程序、厂商是否有适当的数据隔离和数据泄漏保护措施。
Wang在报告中写道,还有许多要解决的问题,不仅是云计算的安全问题,而且还有可靠性问题。要避免这些缺陷,客户需要一个服务级协议,具体规定一些详细的责任条款和承担的后果。事实是法律对待云计算中的数据域对待现场的数据是不同的。这使有关责任的谈判更加复杂。
