上個月信息安全論壇發布了未來兩年10大信息安全威脅。雖然整個列表很有見地，但其中只有一半與云部署涉及的安全和合規挑戰有關，在未來兩年內，對于利用云計算的人來說，需要注意下面5個關鍵安全問題：

[[113096]]

1.服務提供商成為一個關鍵漏洞來源

從最近的新聞來看，這個問題已經很明顯。從其業務性質來看，服務提供商提供的服務是所有類型的敏感/有價值數據的“聚合”。網絡犯罪分子和黑客已經認識到這一點，他們已經開始將主要目標轉移到服務提供商。想想看，如果攻擊者能夠成功滲透服務提供商的網絡，他們將獲取信息寶庫。而事實上，在未來兩年，作為大量敏感數據的中央存儲庫的服務提供商仍然將繼續發展，這方面的威脅只會越來越大。為了應對這個問題，企業必須采取措施來保護其最敏感和最重要的數據，并決定哪些數據可以發送到公共云服務提供商。

2. 移動應用成為泄露的主要途徑

隨著攜帶自己設備到工作場所(BYOD[注])技術的發展，員工開始越來越多的使用部署在平板電腦和手機等移動設備的移動應用程序，而這讓IT部門非常難以控制其敏感數據在何時何地以何種方式被誰訪問。BYOD意味著很多頻繁使用的員工設備將用于工作環境，而實際上，這些設備通常沒有企業設備相同的安全技術。再加上云計算應用程序(用于個人和企業)，這更加提高了企業數據泄露的風險。在這種情況下，IT和安全部門應該部署安全技術來差異化對待其不同的數據類型，部署不同程度的限制，更好地保護最敏感的數據和知識產權。

3. 加密失效

加密是一個非常廣泛的說法，加密使用正在不斷增加，很多企業越來越依賴于加密來滿足其數據安全需求。如果有人問我這個說法是否正確：加密會失效?我不得不說，是的，有些加密會失效。這是因為并不是所有加密都是一樣的。企業需要明白，有些加密比其他加密更加強大，在加密技術的部署方面存在差異化。例如在某些公司，他們要求客戶部署最安全的FIPS 140-2驗證的加密技術，同時物理地保存加密密鑰。這兩點對于成功的加密很重要。另外，企業還可以利用令牌，這是另一種安全方法。

4. 首席執行官已經了解云安全問題，現在你必須努力解決這個問題

我們現在都聽說云計算安全是一個董事會級的問題，這意味著，首席執行官必須了解這方面的問題。我們現在已經開始看到越來越多的預算被分配到云計算保護和安全項目，IT和安全部門具有比過去更多的資源來幫助抵御安全風險。現在IT和安全部門需要找到最好的技術和解決方案來滿足其企業的獨特需求。

5.信息安全無法滿足新一代員工的需求

這可能是最重要的一點。干擾或阻止員工與云計算交互的安全解決方案將不會成功，為什么呢?因為員工總是會找到方法來解決。或者在另一種情況下，IT和安全團隊將會收到最終用戶的投訴和操作問題，造成企業的分歧(例如，員工會說“這些人正在阻止我進行工作”)以及降低生產效率。企業必須想辦法讓云數據控制網關對最終用戶保持透明和可見，讓他們可以根據需求利用云應用程序，以及繼續執行搜索數據等功能，即使當數據已經被加密。

相信這5個安全問題預測將幫助企業思考在未來幾年內如何改善和鞏固其企業IT和安全政策。(鄒錚編譯)