云数据安全让人担忧 其实自己吓自己

2015 年 5 月 11 日3000

有调查显示企业拒绝向云端迁移的头号原因是出于对隐私和安全问题的担心。当然过去一年的云端数据泄露事件,也为人们的担心增添了佐证。但是云计算真的比传统数据中心更不安全吗?答案是否定的。事实是,所有的数据泄露事件都与云计算本身没有关系。就算是著名的iCloud明星艳照泄露事件, 也是因为黑客有针对性的对某些具体的用户进行了入侵,通过其他服务获得了他们的用户名和密码,而iCloud服务本身并没有遭到黑客攻击。

那么云端是不是会比传统的数据中心更安全呢?这是非常有可能的。由于云计算是近年来才兴起的数据中心模式,大多数主要的云供应商都把安全标准定的很高,需要通过ISO 27001、SSAE-16、PCI、HIPAA、FedRAMP等安全认证标准。要通过此类安全标准云服务供应商必须证明其安全策略达到或超过了这些协议所述的控制和策略标准。

而传统数据中心呢,可以调查一下有多少可以通过上述的安全标准,你会发现并不多。如果云服务提供商能满足更多和更严格的安全标准,那么安全性就不再是放弃云端的借口?

许多害怕向云端迁移的企业实际上混淆了掌控性和安全性的定义。他们似乎觉得本地系统的物理可见性以及可掌控性要比云计算有更好的安全性,即使云计算公司在安全问题上更加专业。

但是,数据的存储位置并不等同于安全性。对数据本身访问性的控制要比数据的存储位置更重要。并且,虽然所有的数据中心管理员都希望自己的系统有最好的安全性,但是本地系统由于预算或资源的限制,无法提供云计算提供商所能提供的保护和监视手段。

另外,虽然安全性非常重要,事实上大部分企业直到他们发现被攻击后才会采取真正有效的安全措施。通常情况下,他们不会把足够的资金和资源放在安全防护上。这些安全性投资通常被认为比安全风险所带来的损失更高。

但对于云服务供应商,他们的产品是云计算本身。如果云服务提供商出现安全漏洞,他们的核心产品的可信赖度则会遭受巨大打击。这种信任很难恢复。因此,大多数情况下,云计算服务提供商会提供足够的资金和资源来保护他们的产品。

当然,企业不应该盲目地认为每一个云计算供应商都对数据安全性做足了保障。最重要的是,审核云服务供应商的安全策略,确保它们符合你的安全需求。

同时,不是所有的安全标准都具有通用性。例如,针对IaaS(基础设施即服务)的PCI安全标准则不适用PaaS(平台即服务)或SaaS(软件即服务)的应用。只要确保企业能认识到安全标准的差异性,并明确界定云服务提供商和企业间的安全责任。就会发现云服务提供商对于数据的保护至少不会比传统数据中心做的要差。

所以请停止假设云端要比传统数据中心更不安全,云计算时代的到来将不可避免。

0 0