回顧即將過去的2013年，企業(yè)越來越多地開始使用云計算服務(wù)，但是云計算的安全問題仍然是企業(yè)部署這些服務(wù)的最大障礙。對于大多數(shù)行業(yè)而言，云服務(wù)已經(jīng)成為企業(yè)基礎(chǔ)設(shè)施的一部分，很多員工在沒有經(jīng)過IT部門批準(zhǔn)就已經(jīng)部署了云服務(wù)。例如云服務(wù)評估公司Skyhigh Networks增加了約500項云服務(wù)。

Skyhigh Networks首席執(zhí)行官兼聯(lián)合創(chuàng)始人Rajiv Gupta表示：“員工使用云服務(wù)幾乎沒有評估這些服務(wù)的風(fēng)險。”出于這個原因，在2014年，安全要求將會成為企業(yè)的核心問題，近一半的IT經(jīng)理都關(guān)心其云資源的安全性，而35%的人認(rèn)為云安全要優(yōu)于企業(yè)內(nèi)部部署。其中一個原因是：很多云供應(yīng)商未能解決其客戶關(guān)心的問題。

安全服務(wù)供應(yīng)商Sage Data Security公司總裁Charles Burckmyer稱其客戶經(jīng)常通過他們評估第三方云服務(wù)的安全性。他表示，“客戶需要建立一個結(jié)構(gòu)化的方法來與云供應(yīng)商合作，并要有一個程序來創(chuàng)建被允許的例外情況、分配風(fēng)險和緩解這種風(fēng)險，對于大多數(shù)客戶而言，圍繞云服務(wù)的安全性是非常重要的。”

通過與其云供應(yīng)商進行溝通，企業(yè)客戶可以創(chuàng)建一個安全的混合基礎(chǔ)設(shè)施。下面是企業(yè)應(yīng)該與云供應(yīng)商討論的五個問題：

1. 明確安全責(zé)任

云服務(wù)供應(yīng)商繼續(xù)將保護數(shù)據(jù)的責(zé)任放在客戶身上，而很多客戶認(rèn)為云服務(wù)應(yīng)該對數(shù)據(jù)承擔(dān)責(zé)任。與前幾年相比，在2013年，這種期望差距有所縮小，但根據(jù)Ponemon研究公司的調(diào)查顯示，超過三分之一的客戶仍然期望其軟件即服務(wù)供應(yīng)商保護應(yīng)用程序和數(shù)據(jù)的安全。只有8%的企業(yè)通過其信息技術(shù)和安全團隊來評估應(yīng)用程序的安全性。

Sage Data Security的Burckmyer表示，雖然很多行業(yè)已經(jīng)轉(zhuǎn)移到云計算，但一些安全意識較強的行業(yè)和那些需要遵守法規(guī)的行業(yè)則止步不前，因為云供應(yīng)商沒有明確其風(fēng)險。

他表示，“云供應(yīng)商盡職調(diào)查、了解客戶的責(zé)任以及了解你的供應(yīng)商將如何支持你履行你的職責(zé)，都是非常必要的話題，從監(jiān)管和安全的角度來看，轉(zhuǎn)移到云計算的過程一直沒有很明確，因為很多供應(yīng)商做的還不夠。”

2.構(gòu)建能夠提供有意義日志數(shù)據(jù)的系統(tǒng)

越來越多的企業(yè)想要收集關(guān)于其數(shù)據(jù)和應(yīng)用程序在云中的安全信息。然而，很多云供應(yīng)商沒有提供詳細(xì)的日志文件，或者不能完全分離一個客戶與另一個客戶的事件信息。

“我們需要制定默認(rèn)的標(biāo)準(zhǔn)做法，即有一定量的日志信息可以主動提供給所有需要追蹤的企業(yè)來進行各種分析，”云安全聯(lián)盟首席執(zhí)行官Jim Reavis表示，“日志文件一直是癥結(jié)所在。”

對管理訪問日志保持審計是非常重要的，但大多數(shù)小型云服務(wù)沒有提供這種信息。

3. 加密應(yīng)該更普遍

企業(yè)不僅要求云中終端到終端加密，而且越來越多地要求云供應(yīng)商允許他們在將數(shù)據(jù)轉(zhuǎn)移到云中前，在企業(yè)內(nèi)部加密數(shù)據(jù)。

云服務(wù)管理公司Netskope首席執(zhí)行官Sanjay Ber表示，云供應(yīng)商不僅要與客戶合作，而且要制定強大的加密解決方案，以讓企業(yè)確保其數(shù)據(jù)的安全性，同時允許保留一些功能。

Beri說，“作為應(yīng)用程序供應(yīng)商，加密應(yīng)該是他們可以比任何人都做得更好的事情，沒有人比他們更了解應(yīng)用程序，只要他們將密鑰交給第三方管理，很多客戶都會很高興。”

4. 通知用戶異常情況

如果攻擊者獲取了賬戶信息，加密將不足以保護客戶的數(shù)據(jù)。出于這個原因，云供應(yīng)商還必須部署良好的異常檢測系統(tǒng)，并與客戶共享這些系統(tǒng)的信息和審計記錄。Gupta表示：“你需要所有這些不同的工具來確保云供應(yīng)商滿足客戶的需求，這是一種分層的辦法。”

5. 如何保護從第三方的訪問

雖然云供應(yīng)商受到其所在國家以及數(shù)字所在國家的監(jiān)管，由美國國家安全局和其他國家情報局進行的大量數(shù)據(jù)收集工作讓企業(yè)越來越多地開始詢問云供應(yīng)商，誰在請求數(shù)據(jù)、頻率如何，以及供應(yīng)商是否實現(xiàn)這些國家的請求等。

CSA的Reavis表示，“很顯然，供應(yīng)商需要讓客戶了解他們是如何管理和處理信息請求，供應(yīng)商還沒有開始看到，他們需要對政府的請求敬而遠(yuǎn)之。”

這種明確需要延伸到信息的所有權(quán)，云供應(yīng)商需要強調(diào)其客戶仍然對這些數(shù)據(jù)擁有所有權(quán)，并盡可能明確供應(yīng)商對數(shù)據(jù)的使用權(quán)。