2008年7月3日消息,据国外媒体报道,研究机构Gartner近日发布一份名为《云计算安全风险评估》的报告,列出了云计算技术存在的7大风险。
亚马逊的EC2和Google的App Engine是典型的云计算平台。Gartner将这种类型的计算定义为“可大规模扩展的IT能力,通过互联网技术向外部客户提供服务”。 Gartner表示,云计算需要进行安全风险评估的领域包括数据完整性、数据恢复及隐私等。此外,还需对电子检索、可监管性及审计问题进行法律方面的评价。以下是Gartner列出的云计算7大风险:
1.特权用户的接入
在公司外的场所处理敏感信息可能会带来风险,因为这将绕过企业IT部门对这些信息“物理、逻辑和人工的控制”。企业需要对处理这些信息的管理员进行充分了解,并要求服务提供商提供详尽的管理员信息。
2.可审查性
用户对自己数据的完整性和安全性负有最终的责任。传统服务提供商需要通过外部审计和安全认证,但一些云计算提供商却拒绝接受这样的审查。面对这样的提供商,用户只能用他们的服务做一些琐碎的工作。
3.数据位置
在使用云计算服务时,用户并不清楚自己的数据储存在哪里,用户甚至都不知道数据位于哪个国家。用户应当询问服务提供商数据是否存储在专门管辖的位置,以及他们是否遵循当地的隐私协议。
4.数据隔离
在云计算的体系下,所有用户的数据都位于共享环境之中。加密能够起一定作用,但是仍然不够。用户应当了解云计算提供商是否将一些数据与另一些隔离开,以及加密服务是否是由专家设计并测试的。如果加密系统出现问题,那么所有数据都将不能再使用。
5.数据恢复
就算用户不知道数据存储的位置,云计算提供商也应当告诉用户在发生灾难时,用户数据和服务将会面临什么样的情况。任何没有经过备份的数据和应用程序都将出现问题。用户需要询问服务提供商是否有能力恢复数据,以及需要多长时间。
6.调查支持
在云计算环境下,调查不恰当的或是非法的活动将难以实现,因为来自多个用户的数据可能会存放在一起,并且有可能会在多台主机或数据中心之间转移。如果服务提供商没有这方面的措施,那么在有违法行为发生时,用户将难以调查。
7.长期生存性
理想情况下,云计算提供商将不会破产或是被大公司收购。但是用户仍需要确认,在发生这类问题的情况下,自己的数据会不会受到影响。用户需要询问服务提供商如何拿回自己的数据,以及拿回的数据是否能够被导入到替代的应用程序中。
