洞察保证云计算安全需落实几大方面

yizhongqiao

和云计算相关的安全问题要么在最终用户方要么在云计算服务提供方。云计算服务的提供者必须确保基础架构的安全这些包括数据中心的物理安全、虚拟硬件平台的安全如果提供应用程序服务还需要保障应用程序的安全在运行于这些云系统服务之上的客户的数据安全保护方面当然也会有并且应该有一定的安全措施。给用户带来一站式的云端软件交付新体验，并将软件定制化服务深入到企业应用场景中，通过等保服务的服务进一步体现出来，帮助企业在提升软件开发效率的同时专注于业务创新。

在云计算服务的客户方要确保运云提供商已经实施了适当的安全控制措施以便能更好保障应用程序和数据的安全由于虚拟化的原因客户方不需要接触到公有云的数据中心和各类硬件设备所以他们会担心云厂商的硬件和操作系统的安全问题此外还会担心虚拟化软件系统的安全、以及云服务商的安全能力问题。

总体来说云计算安全会落到几个要点：1合约2隐私及安全3法律遵循。

在合约层面云计算最终用户会和服务商探讨双方的权利和职责、产权归属以及服务中止等问题。需要明确发生安全问题时双方各需承担的责任不再续约合同的时候如何交还或迁移客户的数据及应用程序等等国内多数客户对IT服务的概念接受度还不够相关法律不够健全法务人员也缺乏这方面的经验所以在合约层面想达成一致相对较难。

在隐私及安全层面最终用户必须有自己可控的帐户管理系统来访问云计算及相关的信息资源当然云服务商要确保经过身份验证的授权用户可以访问到云系统服务包括应用程序和数据在应用程序的安全方面如果云服务厂商只提供计算平台即服务则用户自己需负责应用程序的安全如果云计算厂商提供了软件即服务那必须保证基于云计算的软件系统的安全举例讲提供基于云计算的存储或数据库服务的需保障数据存储软硬件平台的安全。云计算厂商要提供用户管理和针对数据安全的保护不仅需要非常庞大的应用系统开发和运维力量更需要及早将安全控管功能嵌入到云服务平台和应用系统之中。

在法规遵循方面国内针对云计算安全的法规尚未成型但会参考服务外包相关的规定通常涉密行业受到严格监管如果要外包或使用云计算相关的云计算服务也需受到同样的监管要求而且这些用户还需得到监管机构的审批这些规定无疑会成为公有云计算在国内重点行业普及的障碍。另外法规对审计方面的要求也非常高但是目对云计算相关的安全审计标准、指导和措施都不够成熟另外云计算在建设初期往往只会关注功能的实现上而忽略志和记录的维护这也需要引起重视。

简单总结一下大型企业级用户使用公有云计算的路子还很长一方面是安全问题难以解决另一方面即便是使用私有云大量数据和应用的迁移也会耗费多的时间。而国内多地政府主导的公有云计算目多侧重于计算能力和平台即服务上往往是政绩项目在应用和安全方面明显乏力；由互联大腕投资的云计算也多侧重于建设及电子商务相关领域显然满足不了大型组织的复杂企业应用要求最终注定公有云计算服务只能停留在较低层面的计算平台、空间租用或简单的大众化应用也只能吸引来自非涉密行业、个人、家庭及中小企业买家的关注。

要解决上述云计算普及的最大障碍关键是加强云计算服务商和潜在大客户的安全意识教育让卖家了解如何提供安全的云计算服务如何做好服务让买家了解如何挑选安全的云计算如何管理外包服务只有双方都清楚了这些才能可能进行下一步的沟通才有合作的可能。

不能渴求立法和监管机构在产业尚未成型时便做出可操作性的规范或指南向云计算的变革过程必定要经历一段动荡期能获得大量客户并保留住这些客户的云计算厂家一定是那些能证明自己的安全能力可以保护客户的应用程序和数据安全的而要达到这一点唯有从全体员工的信息安全意识教育抓起。