浅谈云计算的七大安全风险

　　狭义云计算指IT基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需资源；广义云计算指服务的交付和使用模式，指通过网络以按需、易扩展的方式获得所需服务。这种服务可以是IT和软件、互联网相关，也可是其他服务。

　　通过使计算分布在大量的分布式计算机上，而非本地计算机或远程服务器中，企业数据中心的运行将与互联网更相似。这使得企业能够将资源切换到需要的应用上，根据需求访问计算机和存储系统。好比是从古老的单台发电机模式转向了电厂集中供电的模式。它意味着计算能力也可以作为一种商品进行流通，就像煤气、水电一样，取用方便，费用低廉。的不同在于，它是通过互联网进行传输的。

　　云计算的思想，是将大量用网络连接的计算资源统一管理和调度，构成一个计算资源池向用户按需服务。提供资源的网络被称为“云”。“云”中的资源在使用者看来是可以无限扩展的，并且可以随时获取，按需使用，随时扩展，按使用付费。这种特性经常被称为像水电一样使用IT基础设施。

　　云计算正在受到企业用户的青睐，但是在加入云计算行列之前，你应该了解云计算存在的七大安全风险。

　　Gartner表示，云计算“特殊的性质需要对其进行多个方面的评估，例如数据完整性、恢复以及隐私性等等，同时还要对例如电子发现、法规遵从以及审核等法律问题进行评估。”

　　以下是Gartner认为用户在选择一家云计算厂商之前应该向厂商方面提出的几个安全问题：

　　1、用户访问权限。来自于企业外部的敏感数据会带来一定程度上的内在风险，因为外来的服务绕过了IT部门对内部程序实施的“物理、逻辑以及人员控制”。尽可能了解是谁来管理你的数据。Gartner表示：“你应该要求提供商提供有关特权管理人员的采用、管理人员的勘误以及对他们权限的控制等信息。”

　　2、法规遵从。终用户要对他们自己数据的安全性和完整性负责--即使这些数据是由服务提供商保存的。传统服务提供商负责外部审查以及安全。Gartner认为，那些拒绝提供这种审查机制的云计算服务提供商“表明用户只能利用他们完成不起眼的琐碎功能。”

　　3、数据保存位置。当你采用云的时候，你可能都不知道数据到底是托管在哪里的。实际上，你甚至不知道你的数据被保存在了哪个国家。Gartner建议用户询问厂商是否具有保存和处理数据的某些权限，以及他们是否会站在保护用户个人隐私的角度与用户签订隐私保护协议。

　　4、数据分离。云中的数据往往是与其他用户的数据一起保存在一个共享环境中的。加密虽然是一种有效的方法，当并非万全之策。Gartner表示：“了解厂商是如何将不同用户的数据分离开来的。”云计算服务提供商应该向用户证明，他们的加密策略是经过经验丰富的的设计和测试的。Gartner表示：“加密可能会导致数据完全无法读取，甚至普通的加密方法都可能让可用性问题变得很复杂。”

　　5、恢复。即使你不知道数据被保存在了哪里，云计算服务提供行也应该告诉你在发生灾难的情况下数据和服务的情况。Gartner表示：“任何不在多站点间复制数据和应用架构的服务产品都可能遭受严重的灾难。”因此，Gartner建议用户向服务提供商询问他们是否“有能力做完全恢复，这个过程需要花费多长时间。”

　　6、研究支持。Gartner提醒说，对云计算可能发生的不适当或者违法的行为进行研究调查是不太可能的。Gartner表示：“用户很难调查云服务，因为多用户的日志文件和数据可能同时保存在一起，并且可能散落于不断变化的主机和数据中心内。如果你不能获得支持某种形式调研的协议保证，或者该厂商曾经成功支持这种调研行为的证明，那么你的安全设想就是，调研和发现请求是不可能的。”

　　7、长期可用性。从理想角度来讲，你的云计算服务提供商永远不可能破产或者被其他大型厂商收购。但是你必须确保如果发生这些情况的时候，你的数据仍然是可用的。Gartner表示：“向提供商询问你如何收回数据。”