根據(jù)最新的威脅報告稱，對于大多數(shù)企業(yè)而言，在2013年部署云服務(wù)將會引發(fā)新的問題，這些問題主要圍繞數(shù)據(jù)連續(xù)性、數(shù)據(jù)安全性和可靠性。

安全公司Sophos的2013年威脅報告警告稱，企業(yè)在部署云服務(wù)時，將面臨新的數(shù)據(jù)安全風(fēng)險。企業(yè)應(yīng)該在合同談判階段就解決這些風(fēng)險，也就是在數(shù)據(jù)轉(zhuǎn)移到服務(wù)供應(yīng)商的大規(guī)模數(shù)據(jù)中心之前。該安全公司高級安全顧問Chester Wisniewski表示，在某些情況下，云服務(wù)增加了企業(yè)的攻擊面，并且，削弱了已有的安全控制和政策。

Wisniewski表示：“企業(yè)應(yīng)該多花時間與律師溝通，以確保企業(yè)的所有需求都得到滿足，同時，確保合同中明確列出企業(yè)的所有要求，這樣，當(dāng)發(fā)生事故時，雙方都知道自己的責(zé)任所在。”他表示，企業(yè)在部署云服務(wù)時需要考慮三個問題。

1.如何防止信息泄露？

Dropbox等服務(wù)使員工能夠輕松地存儲和共享包含企業(yè)數(shù)據(jù)的文檔。最初企業(yè)試圖“鎮(zhèn)壓”第三方服務(wù)（例如Dropbox），但現(xiàn)在企業(yè)開始接受這些服務(wù)，同時添加了控制（例如加密）以確保敏感數(shù)據(jù)不會落入壞人手中。Wisniewski表示，企業(yè)應(yīng)該正確部署數(shù)據(jù)保護(hù)安全技術(shù)，并使用戶的操作簡單，他表示，“你需要確保數(shù)據(jù)在上傳到云端前是安全的。”

Wisniewski認(rèn)為，基于云計算的服務(wù)能夠增強(qiáng)企業(yè)原本“支離破碎的”數(shù)據(jù)安全辦法。企業(yè)可以通過多種方法部署安全控制，確保員工能安全地使用移動設(shè)備訪問數(shù)據(jù)或者遠(yuǎn)程進(jìn)入云中系統(tǒng)。一款蘋果iPad應(yīng)用可以提供加密和解密功能以多一層保護(hù)，通過這種應(yīng)用，他表示：“財務(wù)、銷售和營銷人員不必具備高超的加密技術(shù)就可以保護(hù)數(shù)據(jù)。”

2.在合同要求中，是否規(guī)定云供應(yīng)商需要接受適當(dāng)?shù)膶彶椋欠衩鞔_了安全標(biāo)準(zhǔn)？

有針對性的攻擊者已經(jīng)了解到，業(yè)務(wù)合作伙伴（通常是服務(wù)于大型企業(yè)的小企業(yè)）是進(jìn)入大型企業(yè)網(wǎng)絡(luò)的“突破口”。 Wisniewski表示，航空航天和國防行業(yè)的零部件制造商、運(yùn)輸商和供應(yīng)商都可能被攻擊者利用。“網(wǎng)絡(luò)罪犯已經(jīng)意識到，大型企業(yè)的業(yè)務(wù)合作伙伴通常都是小公司，他們的安全防線松懈，但仍然是大型企業(yè)受信任的實(shí)體，這已經(jīng)成為一個真正的問題。”

合同中應(yīng)該明確企業(yè)可以檢查第三方的系統(tǒng)是否已經(jīng)經(jīng)過審查，以及是否具有適當(dāng)?shù)陌踩刂?。云供?yīng)商應(yīng)該提供證據(jù)證明他們符合安全標(biāo)準(zhǔn)，并提供一種機(jī)制允許企業(yè)進(jìn)行獨(dú)立測試。Wisniewski表示：“有些企業(yè)在信用卡泄露事故的數(shù)月內(nèi)才進(jìn)行PCI評估，最后的結(jié)果顯示合規(guī)性沒有得到應(yīng)有的重視。”

數(shù)據(jù)保留、故障轉(zhuǎn)移、事件響應(yīng)程序、系統(tǒng)監(jiān)控和維護(hù)都應(yīng)該在合同協(xié)議中進(jìn)行明確地規(guī)定，以確保當(dāng)企業(yè)與云服務(wù)供應(yīng)商的關(guān)系有變化時，企業(yè)有辦法取出數(shù)據(jù)，并轉(zhuǎn)移到另一個供應(yīng)商處。

“如果你有些偏執(zhí)，無法與供應(yīng)商達(dá)成一致的協(xié)議以按照你的標(biāo)準(zhǔn)保護(hù)數(shù)據(jù)，那么，你將需要運(yùn)行自己的數(shù)據(jù)中心，”Wisniewski表示，“使用云計算服務(wù)的部分代價在于它是廣泛分布式的，你不知道你的數(shù)據(jù)將在什么位置。有些數(shù)據(jù)可能受到合同的控制，但其他部分根本不在你的控制范圍內(nèi)，在很多情況下，可能有人彈出服務(wù)器的硬盤而取走你的數(shù)據(jù)。”

3.你能夠防止對虛擬服務(wù)器的快照（捕捉當(dāng)前運(yùn)行內(nèi)存鏡像——包括所有運(yùn)行中的加密密鑰）嗎？

很多企業(yè)不是使用公共云，而是使用虛擬機(jī)來在其數(shù)據(jù)中心內(nèi)建立私有云。Wisniewski說道，這種方法被認(rèn)為是降低成本和提高效率的好辦法，但同時它也帶來數(shù)據(jù)安全性問題。

專家稱，雖然安全研究人員已經(jīng)證實(shí)技術(shù)性很強(qiáng)的管理程序攻擊是可行的，但網(wǎng)絡(luò)罪犯使用這種復(fù)雜的攻擊的可能性很小。企業(yè)面對的問題是，虛擬服務(wù)器內(nèi)的潛在的缺陷。配置錯誤和糟糕的政策都可能被攻擊者利用來獲取對敏感數(shù)據(jù)的訪問權(quán)限。例如，當(dāng)虛擬快照捕捉系統(tǒng)狀態(tài)（備份系統(tǒng)的常見方法）時，通常密碼和加密密鑰都在內(nèi)存中，因為需要利用它們來解密文件?？煺辗浅９?jié)省時間，也是一個很好的備份機(jī)制，但企業(yè)需要安全地存儲快照。他表示：“你需要將加密密鑰保存在內(nèi)存中，但你應(yīng)該在內(nèi)存中對加密密鑰進(jìn)行模糊化。”