盘点云计算服务中的隐患
中国IDC圈9月2日报道:据世界隐私论坛近日发布的一份报告声称,如果企业期望通过利用云计算服务来降低IT成本和复杂性,那么占先应确保在这个过程中不会带来任何潜在的隐私问题。
你一旦把数据交给外人存储,就会面临潜在问题。企业可能常常甚至不知道自己的数据到底存储在什么地方。信息有时最终出现在多个地方,每个地方可能需要遵守不同的隐私需求。
一心想通过云计算服务削减成本的用户往往会忽视这类问题,需要在合同中阐明隐私保护方面的内容。
那么是不是我们就对云计算可能存在的风险而对其避而远之呢?事实上,任何创新都会有风险,我们总会找到降低和消除风险的办法:
1.控制数据位置。影响大小客户的另一个问题就是数据所在位置,因为不同国家适用不同的隐私和数据管理法律。所以这对从事跨国生意的公司来说特别重要。
比方说,欧盟对于个人方面的哪典数据可以保存及保存多久有着严格规定。许多银行监管部门也要求客户的财务数据保留在本国,而许多遵从法规要求数据不能与共享服务器或者数据库上面的其他数据放在一起。
如今,用户可能根本不知道自己的数据放在云计算环境中的哪个地方。而这个事实带来了数据隐私、隔离和安全等方面的各种法规遵从问题。
但数据位置不确定的这个问题正在开始变化,比如Google允许客户指定把自己的Google Apps数据保存在何处,这归功于它收购了电子邮件安全公司Postinie再比如瑞士银行要求客户数据文件保存在瑞士本国,Google现在就能做到这一点。
更深入一步就是能够在云计算环境的多租户架构上,把用户的数据与其他客户的数据实现物理隔离。但这种隔离技术有望通过目前尚处于初级阶段但功能日益强大的虚拟化技术来实现。
2.数据加密。数据加密能缓解无意或恶意透露信息有关的一部分隐私风险—这种加密既针对存储在云计算服务提供商的服务器上的数据,还针对传送给最终用户的数据。
另外,实施双因子验证方案来控制有人访问云计算服务提供商存储的数据,有望确保只有可以访问数据的用户才能看到数据。当然,如果企业各方面都做到位,并且事先都做好了工作,那么是自己存储数据还是由云计算服务提供商存储数据并没有太大区别。
3.数据丢失与备份的处理。数据存放在何处?哪些人有权访问?数据安全吗?这此都是大问题,因为除了软件及服务((Software as a Service,SaaS)供应商之外,云服务供应商很少具备长期处理敏感数据的经验。
一般说来,数据在云计算服务中是共享存储的,因此具有潜在危险。其实,我们就是把数据存放在公司内部也是有风险的,更别提云服务了。经常对企业内数据访问的风险/利益进行评估的这种方法同样也可套用到云服务上。
判断可将哪些数据转移到云服务中,以及如何保护数据,需要我们了解井核实供应商的标准,搞清楚是否可以对它们进行修改。
在使用云计算服务(如亚马逊公司的弹性计算云)时,企业可对虚拟实例中运行的操作系统、应用程序或数据库管理系统进行数据加密。在使用其他服务(如应用程序托管)时,IT组织需要在开发程序时多留个心眼,确保在程序中内置安全措施(如数据加密)。
不论数据存放在何处,企业都应该慎重考虑数据丢失风险。亚马逊公司明白电脑会时不时发生故障,所以建议其客户通过冗余和备份计划应对电脑故障。有些云供应商提供备份服务或数据导出功能,这样企业就可以自行创建数据备做另一些供应商则要求客户使用企业自行开发或第三方开发的备份程序。