簡(jiǎn)單地說(shuō)，你不能相信云服務(wù)提供商的員工。雖然說(shuō)，我們也不能完全相信自己的員工，但至少我們能夠更好地監(jiān)控他們。在企業(yè)內(nèi)部，當(dāng)有人訪問安全數(shù)據(jù)時(shí)我們會(huì)收到警告，例如谷歌工程師因?yàn)榛诳蛻粼L問情況跟蹤谷歌客戶而被抓，這些年來(lái)，我們很多看到員工因偷竊以及制造破壞等行為而被解雇。

在這個(gè)時(shí)代，很多國(guó)家都在廣泛搜集數(shù)據(jù)，并且，這些網(wǎng)絡(luò)間諜組織也不是特別安全，因?yàn)檫@些國(guó)家的做法會(huì)吸引犯罪分子效仿。最簡(jiǎn)單入侵企業(yè)的方法是獲取員工的登錄憑證或者讓員工泄露信息，例如斯諾登一樣。

基于這些信息的價(jià)值以及國(guó)家可用來(lái)進(jìn)行網(wǎng)絡(luò)釣魚或迫使員工提供訪問權(quán)限的工具可用性來(lái)看，筆者認(rèn)為，對(duì)于企業(yè)而言，現(xiàn)在是時(shí)候該認(rèn)真地審查云服務(wù)，并根據(jù)云服務(wù)是否能保護(hù)你的數(shù)據(jù)來(lái)對(duì)他們進(jìn)行排名。

防止數(shù)據(jù)遭到政府監(jiān)控

受攻擊的明顯領(lǐng)域之一是通信服務(wù)器。例如，美國(guó)民主黨總統(tǒng)候選人希拉里使用私人電子郵件服務(wù)器，這個(gè)服務(wù)器可能已經(jīng)受到攻擊，因?yàn)樗鼪]有得到充分保護(hù)。根據(jù)斯諾登披露的內(nèi)容表明，目前還不清楚這些信息在政府內(nèi)是否會(huì)更加安全。

通信服務(wù)器有著廣泛的信息面，如果未經(jīng)授權(quán)的人可以訪問這些服務(wù)器，這可能讓公司或者國(guó)家受到嚴(yán)重影響。企業(yè)內(nèi)部IT員工或者云服務(wù)提供商的員工不應(yīng)該有權(quán)限查看所有通信數(shù)據(jù)，然而，正如我們從斯諾登事件所看到的，現(xiàn)實(shí)情況并非如此。

理想情況下，通信應(yīng)該在來(lái)源處得到全面加密(根據(jù)政策或者法律)，同時(shí)，只有授權(quán)查看內(nèi)容的人可以解密。當(dāng)然，企業(yè)應(yīng)該對(duì)傳輸?shù)皆品?wù)提供商的數(shù)據(jù)進(jìn)行加密，并當(dāng)數(shù)據(jù)離開公司時(shí)保持加密，確保直到返回都讓其他人無(wú)法訪問。

在任何情況下，云服務(wù)提供商都不應(yīng)該意外或故意讀取受其保護(hù)的安全文件。

分析是一個(gè)問題

在筆者看來(lái)，最大的問題是分析與合規(guī)性。企業(yè)本身需要能夠分析安全信息以捕捉和識(shí)別企業(yè)內(nèi)部的非法活動(dòng)，并有效響應(yīng)合法發(fā)現(xiàn)/訪問請(qǐng)求。如果無(wú)法做到這一點(diǎn)，企業(yè)可能會(huì)被迫失去安全性或者創(chuàng)建永久性后門(+本站微信networkworldweixin)，這兩者都會(huì)降低加密的價(jià)值。

這里有兩種方法，其一：服務(wù)以加密形式位于云中，但在企業(yè)內(nèi)部則為可分析的形式;其二，服務(wù)位于完全安全的虛擬端，只有該企業(yè)可以訪問，但是提供headroom來(lái)滿足通信要求以及政策和法律要求的分析和報(bào)表功能。

事實(shí)上，企業(yè)還應(yīng)該采用容器做法以更好地保護(hù)數(shù)據(jù)抵御內(nèi)部非法活動(dòng)。當(dāng)數(shù)據(jù)在虛擬容器中時(shí)，在云服務(wù)提供商之間或企業(yè)內(nèi)部和外部之間移動(dòng)數(shù)據(jù)會(huì)相對(duì)更容易。

當(dāng)然，所有這些方法還應(yīng)該結(jié)合某種訪問控制以及安全產(chǎn)品，因?yàn)槿绻L問容器的人沒有受到監(jiān)控，我們將無(wú)法保證容器的安全性。

現(xiàn)在是時(shí)候重新考慮安全性

企業(yè)不應(yīng)該相信云服務(wù)提供商的員工。在現(xiàn)在的環(huán)境，企業(yè)很難相信自己的員工，而考慮到云服務(wù)提供商的攻擊面，企業(yè)更加沒有辦法來(lái)相信云服務(wù)提供商的員工。

所以，企業(yè)應(yīng)該確保沒有人可以在未經(jīng)授權(quán)的情況下訪問機(jī)密信息，無(wú)論是在企業(yè)內(nèi)部還是在企業(yè)外部。然后，確保這些授權(quán)受到嚴(yán)格管理和監(jiān)控，這樣，你才可以說(shuō)，你對(duì)信息的安全保護(hù)已經(jīng)足夠。

至少通過這種方法，你可以專注于云服務(wù)提供商的可用性、性能和價(jià)格，而不是關(guān)注他們是否在真正保護(hù)你的數(shù)據(jù)安全。當(dāng)讓，單靠這一點(diǎn)并不能確保讓你遵守跨越國(guó)界的法律。(鄒錚編譯)