云计算领域伴随各类安全风险。诸如亚马逊的EC2服务和谷歌的Google App Engine就是云计算服务的例子。在认可一个供应商之前,聪明的使用者通常会提出一系列尖锐的问题并且考虑从独立第三方获取一份安全评估报告。
云计算的特有属性决定了风险评估的重要性,包括数据完整性保护、故障发生后可恢复性以及私密性等领域。此外,诸如e-discovery(电子发现)和审计等方面的法律评估也是必不可少的。以下是使用者在选择供应商之前需要防范的七方面风险:
优先访问权
由于云计算服务供应商采用内部程序,以绕开物理、逻辑和个人控制,敏感数据在处理过程中存在被盗取风险,因此,尽可能掌握管理数据相关人员的信息至关重要。使用者需要向供应商索要其拥有优先访问权管理人员的雇佣和监管的详细信息。
监管
即使数据掌握在服务供应商手中,使用者也是其数据安全性和完整性的最终负责人。传统服务供应商需要接受外部审计和安全认证等方式的监管,这对云计算服务供应商而言也是必不可少的。对于拒绝接受检查的供应商,使用者最好避而远之。
数据定位
当使用者享受云计算服务时,他们很可能对于数据所在方位一无所知,甚至不知道被存储在哪一个国家。因此,使用者需要向供应商询问其是否在特定地区存储和处理数据,以及他们是否向使用者承诺遵照当地隐私保护要求。
数据分割
通常情况下,一个云内有很多使用者的数据处在共享环境中。尽管加密有效,但并非万能。因此,使用者需要查实数据分割的方式。云计算服务供应商应该提供证据,证明其加密方案是由经验丰富的专家设计和检测的。加密事故可能造成数据完全瘫痪,即使一般的加密不当也会造成数据可得性复杂化。
数据恢复
即使不了解数据所在地,使用者也应该了解在极端情况下其数据将面临哪些问题以及将被如何处理。如果云计算服务供应商不能通过不同来源复制数据,以及恢复应用程序,使用者将面临很大风险。因此,使用者需要向供应商了解其能否完整恢复受损数据及恢复所需时间。
调查支持
在云计算领域,调查不当或非法活动几乎是不可能的。由于大量使用者的记录和数据可能同在一处,而且很可能在不同主机和数据中心传递,在云计算服务中的调查十分困难。如果没有供应商支持各种类型调查的合约承诺,以及其有效支持各类调查的证据,那么调查和披露要求将不可能实现。
长期发展风险
一般而言,云计算供应商持续经营,不发生破产或被吞并是最理想的情况。一旦出现意外状况,使用者必须确保仍然能够使用数据。因此,使用者需要向云计算服务供应商咨询当发生兼并收购等情况后如何找回数据.
