摘要:宋體表示��,現(xiàn)在更普遍的是云中斷和數(shù)據(jù)丟失��,在這方面�,企業(yè)的準(zhǔn)備工作非常欠缺。市場領(lǐng)先的云服務(wù)供應(yīng)商亞馬遜服務(wù)在過去兩年經(jīng)歷了三次重大中斷�����。宋體在服務(wù)水平協(xié)議中�����,供應(yīng)商一直不愿意解決數(shù)據(jù)丟失的安全可恢復(fù)問題����。
目前,安全問題仍然是企業(yè)部署云計算資源的主要抑制�����,一名Gartner分析師稱����,較大的問題不是在云環(huán)境中數(shù)據(jù)可能被破壞���,而是可能出現(xiàn)云中斷,從而導(dǎo)致數(shù)據(jù)丟失���。
Gartner云安全分析師Jay Heiser表示�����,目前存在這樣一種看法���,即使用云計算較大的風(fēng)險是關(guān)鍵數(shù)據(jù)可能被泄露���,但是我們很少看到這樣的情況�����,可以說屈指可數(shù)�。在2011年���,索尼曾遭遇數(shù)據(jù)泄露��,涉及其云端數(shù)以千萬計客戶的信息�����,也出現(xiàn)過極少數(shù)從云中泄露個人身份信息的其他泄露事故��。
Heiser表示����,現(xiàn)在更普遍的是云中斷和數(shù)據(jù)丟失,在這方面�����,企業(yè)的準(zhǔn)備工作非常欠缺�����。
讓我們回顧一下過去幾年的重大中斷事故����。市場領(lǐng)先的云服務(wù)供應(yīng)商亞馬遜Web服務(wù)在過去兩年經(jīng)歷了三次重大中斷。在經(jīng)歷2011年4月的彈性計算云(EC2)中斷后���,一定程度上的數(shù)據(jù)已經(jīng)無法挽回����。Evernot在2010年丟失了6000名客戶的數(shù)據(jù),而Carbonite在2009年丟失了部分客戶的備份數(shù)據(jù)�。
Heiser指出,很多這些中斷事故是由系統(tǒng)升級中存在的錯誤造成的����。例如,亞馬遜表示其最近的數(shù)據(jù)中斷是因為安裝在其數(shù)據(jù)中心的心的硬件而造成的�����。
亞馬遜的中斷導(dǎo)致Reddit��、Imgur和其他流行網(wǎng)站被關(guān)閉��,亞馬遜在事故后進(jìn)行了善后工作��。
Heiser在本周Gartner主辦的在線研討會上表示�,這些問題一遍又一遍地出現(xiàn)�����,所以它們很可能會再次出現(xiàn)��。盡管這是云用戶最關(guān)注的問題之一,但根據(jù)Gartner最近的調(diào)查顯示���,只有一半的企業(yè)部署了程序來評估期業(yè)務(wù)連續(xù)性流程���。他補充說,安全泄露問題不應(yīng)該被忽略����,但更為緊迫的問題是圍繞在業(yè)務(wù)連續(xù)性上。
Heiser表示���,云計算行業(yè)正在慢慢解決這些問題��,但是正在試圖推動云安全改進(jìn)的供應(yīng)商�����、用戶和第三方機構(gòu)應(yīng)該要做得更多�。
在服務(wù)水平協(xié)議(SLA)中�����,供應(yīng)商一直不愿意解決數(shù)據(jù)丟失的安全可恢復(fù)問題���。Heiser表示:“大家都在抱怨說�,云服務(wù)供應(yīng)商對于他們具體如何保護(hù)客戶一直含糊其辭?���!币恍┕?yīng)商表示,他們不會公布這方面的信息�����,是因為這樣做可能會存在一定的安全風(fēng)險�。供應(yīng)商多次聲稱能夠提供高水平的數(shù)據(jù)可用性和保密性,但Heiser表示���,他們并沒有提供相關(guān)證據(jù)�,來讓客戶驗證其說辭��。
在這方面�,用戶應(yīng)該更加積極主動。用戶需要做的第一件事情是分類數(shù)據(jù)��,標(biāo)記真正需要保護(hù)的數(shù)據(jù)�����。不完整或者不存在的數(shù)據(jù)分類是一個常見的問題���。Heiser表示:“如果用戶不知道特定數(shù)據(jù)所需要的與其他數(shù)據(jù)不同的安全要求����,這將很難評估供應(yīng)商是否能夠提供足夠的安全性����。”
第三方組織正在努力為這些方面制定標(biāo)準(zhǔn)和認(rèn)證��,但Heiser表示���,目前這方面仍然很欠缺�。例如�����,云安全聯(lián)盟采取了廣泛的措施來解決各種問題����,但這些措施不夠深入到解決特定領(lǐng)域的根本問題。
FedRAMP是美國聯(lián)邦政府對其使用的每個云計算服務(wù)供應(yīng)商列出的共同安全標(biāo)準(zhǔn)程序�����,但它仍然處于早期階段,要等到2014年才能夠使用�。Heiser表示,“我們已經(jīng)開始了解我們需要什么�,但我們需要做更多的工作:標(biāo)準(zhǔn)控制、評估做法和達(dá)成全球共識�。”企業(yè)處于較佳位置�����,他們能夠?qū)?yīng)商施加壓力��,讓供應(yīng)商對這些問題做到盡可能的透明��。
那么�����,企業(yè)云用戶應(yīng)該做些什么?Heiser表示:“選擇你的云控制‘戰(zhàn)役’�。”宏觀趨勢是越來越多的數(shù)據(jù)將出現(xiàn)在越來越多的最終用戶設(shè)備中�����,這讓控制數(shù)據(jù)變得更加困難�,同時創(chuàng)造更多漏洞。通過數(shù)據(jù)分類�,企業(yè)可以優(yōu)先考慮需要高度安全保護(hù)的數(shù)據(jù)。對于大多數(shù)企業(yè)而言����,極為重要的數(shù)據(jù)將低于總數(shù)據(jù)的20%,甚至可能低至5%或者更少���。對于這些數(shù)據(jù)����,企業(yè)應(yīng)該“拼死保護(hù)”���,采用加密��、令牌化�、數(shù)據(jù)丟失防御系統(tǒng)或者將這些數(shù)據(jù)保存在企業(yè)內(nèi)部��,而不是公共云中���。還應(yīng)該部署殺毒軟件���、反惡意軟件和其他安全保護(hù)以及控制來確保其他數(shù)據(jù)不會太容易受到攻擊��。在現(xiàn)在的情況下����,現(xiàn)實的情況是����,用Heiser的話說:大部分?jǐn)?shù)據(jù)將需要保護(hù)自己。
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/4003.html
