【TechTarget中国原创】云计算是有吸引力的，充满诱惑的，也许也是不可抗拒的。其优点是令人信服的，尤其是pay-as-you-go 模式，与买电非常相似这是一种强大的商业模式：根据需要购买计算能力、磁盘存储、协作应用开发资源、客户关系管理（CRM）。云计算是灵活的，可伸缩的，而不必购买更多的服务器和磁盘或扩大或部署昂贵的基础设施和程序。它可满足短期创意和要求，也可以应对商业周期中的高峰和低谷。

　　但是，如何在这一过各程中确何安全呢？

【TechTarget中国原创】云计算是有吸引力的，充满诱惑的，也许也是不可抗拒的。其优点是令人信服的，尤其是pay-as-you-go 模式，与买电非常相似（或者说，如果你愿意，可以只买一杯饮料，而不是一整瓶）。

　　这是一种强大的商业模式：根据需要购买计算能力、磁盘存储、协作应用开发资源、客户关系管理（CRM）。云计算是灵活的，可伸缩的，而不必购买更多的服务器和磁盘或扩大或部署昂贵的基础设施和程序。它可满足短期创意和要求，也可以应对商业周期中的高峰和低谷。

　　但是，如何在这一过各程中确何安全呢？安全分析家和从业人员一般会说要使用云计算，但要谨慎行事。云计算会遇到与外包有关的敏感的公司数据所能遇到的所有风险。当你和第三方已知或未知的转包商交易时，特别是在全面范围内时，执行安全策略和遵从法规要求就很困难。，。再加上云模糊的特性以及非传统厂商进入这个市场，就更增加云的危险。

　　IDC去年秋天公布的一份调查报告中指出， 在244个IT主管/ CIO中，75%的受访者认为对于云计算，安全性是重要或非常重要挑战。 相比之下，63%十三关注后两项---性能和可用性。因此，与商业伙伴在业务上进行竞争之前，你最好克服云计算的风险。

　　Craig Balding，一家财富500强企业的技术安全领导说：“我建议安全人员要关注这个问题，因为CFO（他只关心数字）或者听CFO陈述的CIO会来问：‘云计算到底是什么，我们可以用云计算做什么？’”

　　让我们研究一下云计算的风险与收益，做哪些事情可以使公司减轻这些风险并收获一些好处。

　　安全不是提供商的专利

　　现在，云计算提供商不过多谈论安全并不奇怪。现在正是宣扬云计算是即将出现在商业领域的下一个“重大事件”的时候。

　　大部分公开的讨论来自安全专家和分析师，这些讨论推动了厂商采取主动行动。正如Balding 所举的例子，亚马逊在亚马逊网络服务(Amazon Web Services ,AWS) 网站上并没有太多的安全措施，谷歌的企业应用套件也一样没有。没有明显的程序或明确的承诺可以，比如应付想要报告漏洞的研究人员。

　　“谷歌和亚马逊都有非常精明的安全人员，”Balding 说，“但是，当你与在每次关于云计算的会议上都很显眼的亚马逊的人讨论安全问题时，不会有太多的交谈。如果他们把可以讨论安全问题的人员也带到社区，那这将更有意义。”

　　问题不在于云计算厂商对安全问题都漠不关心，显然他们并非如此。 相反，问题是强安全性对于他们的商业模式有多重要，他们在这个问题上会走多远，他们愿意为这个问题花多少钱？问题还在于，一个商业模式是否支持这样一种安全计划，这一安全计划不仅强有力而且能足够灵活地满足用户独特的安全和法规需求，特别是大型跨国公司？

　　“云计算为性能进行优化，为资源消耗进行优化，为可扩展性进行优化，” Forrester的分析师Chenxi Wang说，“但不针对安全进行优化。”

　　在这一市场的早期阶段，你必须关注的是现在的安全问题在哪，厂商是否从开始就可以突破到服务中来，或是从客户的方面向服务施加压力。这是一个新的市场，公司必须在进入市场之前对安全问题有足够的准备。

　　“现在，一切都没有确定，” Gartner的分析师Mark Nicolett说，“这是一个早期采纳者所遇到的情况。你不可以在云计算中才拥和传统外包商的安全性一样的的安全等级。”

　　云计算的高度风险性

　　对于云计算，你必须处理所有在“正常”外包服务中所遇到的风险因素。但是，云计算也带来了其自身固有的安全问题，这使得它不仅难以为你的公司提供它完成所需功能的保证，而且，在某些情况下也会使服务提供商难以满足你所要求的所有服务。

　　“云计算的不同之外在于控制，”Balding说，“控制意味着可见性。你无法看到的东西是无法控制的。”

　　考虑数据安全的三个主要要求：可用性，完整性和保密性。

　　第一个要求对于你的业务和你的服务提供商的业务是核心的。数据泄露已经够糟糕了，但如果服务中断，业务也就中断了。例如，Amazon的Simple Storage Service（S3）去年曾两次中断过几个小时。如果您的第一项要求是接近100 ％的正常运行时间，那么这是一个很好的选择，几乎每个厂商将其做为优先考虑的事情。

　　数据完整性和保密性是另一回事。 完整性要求只有授权用户进行经过授权的更改。保密性是指只有授权用户才能读取数据。人们会期望应用强有力的控制加强对授权用户访问、认证、隔离数据等方面进行管理。如果已经有传统的合作伙伴和服务供应商可以接触你的敏感数据，你就可以扩展这些控制。但是，云计算条件下，作为一个实际问题，你不知道你的数据在什么位置。你不知道哪一台服务器为你计算，不知道它通过哪些网络传输，甚至不知道它存储在什么位置，因为提供商的系统动态的响应你和其他成千上万的客户时增时减的需求。云计算的灵活性和可扩展性，使云计算具有吸引力的同时也使得它难以预测。

　　“外包给Amazon、或IBM、或戴尔、或微软做云计算与外包给AT&T没有差别，”杰夫阿尔法软件首席安全专家Kalwerisky说。“现在的差别是你确实不知道数据在哪。”

　　此外，很难保证数据的隔离，因为这些网络和服务器共享来源于数以千计的客户的数据。 所以你必须要关注的是你的服务供应商的工作人员和一些来自其他企业的人由于不当授权或认证可以读到这些数据。

　　Forrester的王提到了一个相关的问题，即传递信任，因为云计算供应商必须依靠第三方供应商提供的计算和基础设施资源。那么如果我与我的供应商之前存在值得信赖的关系，我该如何扩展这一信赖关系呢？

　　“这些第三方基础设施资源接触到我的机密数据”，王说。“我是否应当允许这种我已经与我的供应商，比如亚马逊，建立的信任关系传递到第三方，以及如何对此进行评估？传递信任的问题没有明确的说法。”

　　所以，你的供应商并不知道在特定时间你的数据在何处，这就难以确定你的数据是否正在以保密和隐私的方式进行处理。