2009/11/24 字体:大 中 小 来源: 作者:
据欧洲网络与信息安全局(ENISA)对云计算风险进行的评估称,云计算用户面临失去对数据的控制、难以证明遵守法规的困难以及数据从一个法律管辖区转移到另一个法律管辖区的法律风险等问题。
这个机构强调指出,这些问题可产生同样的最严重的后果,大多数使用云计算服务的企业都会遇到这些问题。
ENISA考察了企业在转向云计算的时候给这些资产带来的风险。这些风险包括客户数据及其企业声誉;云计算系统中存在的安全漏洞;这些安全漏洞给企业带来的风险以及这些风险将出现的可能性。
这篇报告称,当转向基于云计算的计算服务时,企业必须把许多问题的控制权交给云计算提供商。这可能会对安全产生负面影响。例如,提供商的服务条款也许不允许进行端口扫描、安全漏洞评估和入侵检测。同时,服务级协议也许不包括这些服务。这个结果是防御中的一个缺陷。
云计算服务的优势之一是数据能够存储在多个地方。这可能在一个数据中心发生事故的时候起到挽救的作用。然而,如果这些数据中心位于法律体系不稳定的国家,这也是一个巨大的风险。
其它担心的方面是厂商锁定、把不同的企业隔离开来的机制的失败、黑客可以访问的管理界面、数据没有恰当地删除以及恶意的内部人员等。
为了减少这种风险,这篇报告提出了一个企业需要询问潜在的云计算提供商的一些问题的列表。例如,提供商对于完全隔离客户的资源能够提供什么保证,提供商对于员工将执行什么安全教育计划,应该采取什么措施保证满足第三方服务水平的要求等等。
这篇报告称,最后,一个良好的合同能够缓解这些风险。企业应该特别关注与数据传输、执法部门访问数据、安全突破通知等事情有关的权利和义务。
不过,ENISA的报告不全是前景黯淡的。使用云计算服务能够对某种类型的攻击采取更强大的、伸缩性的和节省成本的防御。例如,动态分配资源的能力将对拒绝服务攻击提供更好的保护。
该内容可能有会员内容,需要登录查看全文,点击
这里在顶部登录