云安全扫盲进行时 揭秘云安全五大盲区

2015-02-02 09:59:50   点击:
  当我在阅读各种博客、IT产业分析以及媒体报导时,我发现许多矛盾的观点。某些作者认为云计算较为安全,有些则特别强调新的安全挑战。由

  盲区4“云”服务供应商会负起安全的责任


  虽然SaaS或PaaS服务供应商通常会在服务条款中提供安全保障,在IaaS领域却不然。


  虽然IaaS厂商会采取一些安全措施,并且在文宣中强调其安全措施,但IaaS环境的安全性终究是企业与IaaS厂商应该共同负担的责任,而且,最终的责任通常还是落在企业本身。IaaS供应商的服务条款中有关安全的章节应该会强调这一点。


  不仅如此,虽然供应商会负起安全的责任,但万一发生信息外泄事件,企业本身仍旧须承担最终的责任。毕竟,那是您的信息。


  盲区5我的“云”服务厂商有SAS70TypeII程序,因此我的信息安全无虞


  SAS70TypeII内核的确是不错的安全基础,也是确保厂商在检查期间安全控管措施正常运作的一项工具,但这并不等于安全性。而且可能给人一种安全感的假象。内核所看的是过去的状况,虽然过去的绩效对未来具指标性(至少在数据中心安全方面),但绝非未来的保证。一旦公司发生大规模或不预期的人事变动,就可能让原本扎实完整的安全措施一夕之间瓦解。此外,SAS70也无法防止心生不满的员工对公司或客户挟怨报复。


  SAS70TypeII内核无法检查内核范围以外的项目。在内核检查表上的项目您或许严格控管,但漏洞却可能在检查范围之外。再者,任何流程的内核都无法涵盖执行流程的人。厂商的用人原则为何?SAS70TypeII内核并不一定涵盖用人原则。凡人都可能犯错,当然也绝非完美。


  SAS70审查并没有一套标准作法。这类内核是内核者与受内核对象彼此共同设计出来,目的在于测试特定业务流程的控管措施。而控管措施可能无法包山包海,所以,在原先预定之外的项目,即使对业务服务很重要也不在测试范围内。因此,在将关键业务流程交给任何服务供应商之前,您应该对SAS70内核有所存疑。而且,理想的内核不应该只专注于信息安全,而是应该延伸至服务永续性、厂商管理、备份复原、人事制度等其他领域。


  不论公共“云”或私人“云”在降低成本、提升企业灵活度方面都能提供优异的企业价值。不过,建议您在挑选之前还是应该先认清其中的安全挑战。