九大安全问题及相应对策

    Heiser表示，要评估云计算服务提供商，最实际的办法就是请第三方来进行评估。牵涉的问题和顾虑实在太多了，所以要是内部开展所有工作可能会让人望而生畏。让这项工作难上加难的是，许多云计算服务提供商一点也不透明。

    他说：“打电话给谷歌公司，问一下对方的透明度如何。”他暗示答复很可能这样：“不是很透明”。“如果这样，为什么你要信任对方呢？”

    Heiser说：“我平时拿谷歌的透明度与Salesforce.com的透明度进行比较。我们强调，Salesforce早期在加强透明度方面确实作出过一番努力；我们其实没有把谷歌当作是Salesforce的对立面，但它确实很不透明。”

    如果你或者第三方在试着评估云计算服务提供商，以下是要注意的一些问题，以及Gartner公司建议的相应对策。

    1、特权用户访问

    若使用云计算，你的机密数据将由贵公司外面的人员来处理，所以可想而知：不是贵公司的员工完全可以访问这些数据。

    忠告：“要求提供商提供招聘及监管享有特权的管理员方面的具体信息以及控制访问方面的具体信息。”

    2、法规遵从

    在《萨班斯－奥克斯利法案》当道的时代，公司有责任实施严格的数据监控和归档级别。即便一家公司与外部的云计算服务提供商签订了合同，这些法规仍要求这家公司负有责任。云计算服务提供商应当提交审计和安全方面的证书，确保对方能够履行约定的承诺。

    忠告：“如果云计算提供商不愿意或者没能力做到遵从法规，这表明客户只能用它们来处理最不重要的功能。”

    3、数据位置

    若使用云计算，你不知道自己的数据到底存放在什么地方。服务器可能建在马来西亚、加拿大或者美国的新泽西州，说不定同时建在上述三个地方。

    忠告：询问提供商，他们是否愿意给出合同承诺，遵守相关的一些隐私法？

    4、数据隔离

    当然，云计算提供商会使用SSL来保护传输中的数据，但当贵公司的数据位于存储设备中时，可能与其他公司的数据共用一只“虚拟保管箱”。贵公司的数据与别人的数据经过适当隔离吗？

    提供商可能会夸耀自己的加密技术如何强大、安全。你会听到密钥长度有多长、采用哪种深奥的加密算法。不过，如果你的数据能够被提供商读取，那么可以这么认为：数据也会被别人读取。

    忠告：“如果你的数据将采用加密格式来进行保存及备份，就要弄清楚谁有权访问解密密钥，贵公司的授权人员在紧急情况下是不是可以访问本公司员工的数据。”

    5、可用性

    从理论上来说，如果你使用云计算服务提供商，没有必要担心自己的数据会消失――这些提供商很容易采用冗余机制把你的数据复制到众多地方，这样万一系统崩溃，仍可以高枕无忧。

    但你的员工能不能随时访问完成工作所需的数据呢？比方说，要是虚拟管道受到堵塞会怎样？要是提供商自身出现的某种内部故障导致你无法访问自己的关键数据，又会怎样？

    忠告：“公司应当为任何重要的IT工作负载确定服务级别方面的要求，并且需要提供商签订服务级别协议，从而确保合同里面写明惩罚条款，以防出现服务级别协议未得到遵守的情况。”

    6、灾难恢复

    希望最糟糕的永远不会发生；任何重大的灾难也不会发生在你、你的提供商或者整个世界头上。但你的提供商必须为此作好防备。

    重要问题：你的提供商有能力进行全面恢复吗？需要多少时间才能完成全面恢复？

    7、调查支持

    开展内部的法律调查向来就不是容易的事，因为这需要清查可能散布在实体位置和虚拟位置的大批文档。如果你使用云计算服务提供商，那么开展这种调查更是困难重重：许多客户的数据也许放在一块儿，散布在地点不断变化的一系列数据中心。

    忠告：“如果你得不到提供商的合同承诺来支持特定的几种调查，又得不到证据表明对方曾经成功地支持这类工作，那么你几乎可以肯定，对方几乎不可能满足你要求的调查和发现。”

    8、存活能力

    你的提供商会被收购吗？或者更糟糕的是，会破产吗？如果是这样，对方需要多久才能把数据交还给你、而且采用的格式让你可以导入到另一家提供商的基础设施上？

    9、降低风险方面的支持

    你的员工开始使用外部提供商时，会经历一个学习过程。这家提供商提供的界面用起来多容易？提供商是否帮助你的管理人员设置监控政策？又采取了哪些措施来防范恶意软件和网络钓鱼？