企业须辩证看待云安全问题（针对企业云安全的解决方案有哪些）

即使是对安全性问题方面的一个小小建议也都足以让一个云计算项目泡汤，并让全部云计算计划进程及其计划者饱受质疑。为了不出现这类情况，企业必须以辩证的方法来看待安全性问题，集中精力加强对新风险的管理，并从理念上理解可接受的风险等级。

　　

　　大多数问题的产生都是由于企业是在理想情况下对云计算安全性进行评估的。少量有企业会斟酌在云计算中运行一个崭新的利用程序，他们常常会希望把一个现成的成熟利用程序迁往云计算。这就意味着，他们其实不会对利用程序的安全性进行完全的评估，而是把云计算安全性与他们至今为止的数据中心托管安全性进行类比。

　　从这个角度来看，云计算数据安全性评估就是指肯定可接受的风险。犹如其他所有类比的风险管理一样，安全性风险管理是一个在风险与本钱之间进行权衡的进程。对你在现有的数据中心中运行的现有利用程序进行风险评估并耽忧利用程序在云计算中运行的风险是非常重要的，这是由于利用程序在云计算中运行所带来的风险常常会高于你所能接受的程度。此举可确保与云计算安全性相干的本钱支出不会致使云计算项目因财务缘由而流产，其实在现实生活中，这类情况产生的几率是比较高。

　　从传统意义上进行分类，利用程序的安全性可分为3个层次：网络拦截、利用程序访问和物理数据安全。下面，我们将逐一进行介绍，并重点关心其中云计算与至今为止程序的差异。

　　网络拦截

　　网络拦截是未授权方经过监控网络流量查看机密数据而存在的风险。当经过Wi-Fi、3G或4G等无线方式访问利用程序时，网络拦截的风险是最高的，但是在大多数情况下，把利用程序迁往云计算其实不会改变使用无线技术的用例。举例来看，如果一家企业希望用户能够更多地经过公共Wi-Fi热门访问基于云计算利用程序，那末就能够使用SSL加密技术以保护数据信息流。对经过阅读器进行访问的利用程序，便可提供一个可靠的https URL，但是请注意，对使用客户端软件的利用程序，可能必须对利用程序进行2次开发以确保实现基于SSL加密技术的会话。

　　密钥管理是确保云计算中利用程序安全性的最大问题。最多见的做法就是把利用程序的安全密钥存储在利用程序镜像中。如果是在云计算利用程序中完成这一工作的，那末密钥就成了云计算供应商所保存的机器镜像的一部份，从而也就存在被具有机器镜像存储装备访问权的歹意人士盗取的可能性。使用公共密钥存储服务或技术可确保云计算中的密钥、利用程序代码和数据永久不会被窃。

　　利用程序访问

　　云计算中的访问安全性通常也是一个广受关心的重要问题，但事实上它完全不是一个日趋严重的风险。如果你是使用互联网访问你的利用程序，那末经过互联网访问云计算中一样的利用程序就不会存在更多的风险，固然其条件条件是你能够如上所述正确地管理SSL和加密密钥。如果你打算使用虚拟专用网络访问来代替互联网访问，特别是创建一个互联网VPN，那末就会出现新的挑战。

　　互联网VPN通常会使用IPsec加密系统，这是一种不同于SSL的安全技术，它会创建一个用户群，这个用户群中用户的数据流量都是经过他们与网络之间的软硬件进行加密和解密处理的。当企业在他们自己的内部VPN上使用Ipsec技术时，对云计算是不存在任何额外安全性风险的;但是，云计算供应商们通常是不会支持在他们的云计算数据中心[注]中增加安全设施的，因此便可能需要一个软件以支持至每个云计算利用程序的IPsec VPN连接。一般而言，这多是每一个利用程序机器镜像的一部份，是一种中间件。请与你至今为止的IPsec供应商确认，以确保你有一个云计算兼容的IPsec功能可使用。

　　物理数据安全

　　数据资产的物理安全是绝大多数用户所共同关心的最大问题，同时这也是计划者最难以解决的一个问题。如果机密信息被存储在云计算中，那末验证你的云计算供应商的安全性资质就是非常重要的了。虽然已出现了大批的云计算安全合规性框架，如云计算安全同盟(CSA)的开放认证框架(OCF);但问题是，这些框架都还未完全开发完成。如果你计划把机密信息存储在云计算中，那末你就需要确认你的云计算供应商提供何种框架和这一框架是不是能够满足你的实际需求。绝大多数的云计算项目计划者所面对的最大问题就是肯定云计算供应商的框架是不是支持你的合规性要求和政府法规，这项审查工作应由你的内部审计或法务办公室完成，如有必要可与政府监管部门合作进行。

　　在云计算项目中，或许可以经过杜绝存储机密数据而减少数据物理安全性问题的产生。如果利用程序使用结构化数据访问方法(DBMS/RDBMS 查询处理)而不是块级别的访问读写操作，那末就能够在把利用程序迁往云计算的同时把数据贮存模块保存在企业内部。

　　独立审计是云计算项目计划者在研究云计算安全选项时另外一个需要斟酌的问题。严格遵守合规性需求的公司可能仍需要具有一个经第3方认证的云计算战略。如果你有一家合规审计公司为你的内部IT提供了到位的审计服务，那末这家公司极可能是你进行云计算合规性和安全性审计的最好选择。如果你不这么做，那末列出一份他们推荐的云计算供应商和安全合规性审计公司的名单。先依照这些公司的表现选出前3名，然后联系这3家公司进行项目竞标。

免责声明：
本网址（www.yingxiongyun.com）发布的材料主要源于独立创作和网友匿名投稿。此处提供的所有信息仅供参考之用。我们致力于提供准确且可信的信息，但不对材料的完整性或真实性作出任何保证。用户应自行验证相关信息的正确性，并对其决策承担全部责任。对于由于信息的错误、不准确或遗漏所造成的任何损失，本网址不承担任何法律责任。

本网站所展示的所有内容，如文字、图像、标志、音频、视频、软件和程序等的版权均属于原创作者。

如果任何组织或个人认为网站内容可能侵犯其知识产权，或包含不准确之处，请即刻联系我们进行相应处理。