很多人总是认为云环境不太安全,而将应用程序和数据放在他们自己的数据中心才更安全。但真的是这样吗?早在2010年5月,CA和Ponemon研究所对900多名IT专业人士进行了调查,他们发现IT从业者认为在云环境安全风险更加难以控制,包括对数据资源物理位置的保护和限制特权用户访问敏感数据。该调查发现,IT人员承认他们不太清楚哪些计算资源被部署在云环境中,主要是因为这些都是由终用户从非IT视角作出的决定。约有一半的受访者承认很多云资源在部署之前并没有进行安全评估。

  也许所有对云环境的担忧源自于不安全的Web应用程序,而不是云本身。很多web安全漏洞(如跨站脚本和SQL注入攻击)在web服务器刚被发明的时候出现了,出于某些原因,它们仍然在很多企业系统中“作威作福”。更加讽刺的是,2010年Aberdeen集团的报告显示,基于云的web安全工具比企业内部安全工具出现更少恶意事件。

  选择云服务的用户应该要求供应商回答以下四个问题:

   1、数据存储在云基础设施时,数据是如何加密的,包括使用中数据和静态数据?
   2、是否部署了细粒度访问控制?
   3、是否有多余的云基础设施?
   4、Web应用程序保护到位吗?

  数据加密

  数据存储在云端时是如何加密的(包括使用中数据和静态数据)?

  大多数云供应商会自动加密传输中的数据(通过要求web浏览器进行SSL连接),但是这些数据是否被保存在加密容器中则是另一回事。好的办法是创建一个混合公共/私有云,这样所有云资源都可以位于企业防火墙后面,像在自己数据中心一样受到保护。

  大多数云供应商提供某种虚拟专用网(VPN)保护,这样信息在传输过程中将被加密,并且能够通过普通网络共享来访问。例如,Verizon公司的计算作为服务提供了思科的AnyConnect VPN客户端(从IE浏览器启动)。

  其他云供应商提供虚拟防火墙,这个防火墙连接到企业数据中心内部的防火墙,或者与传统思科VPN网关连接。

  Amazon网络服务之一虚拟私有云允许你连接任何Amazon云资源到你的企业位置,你可以桥接你的Amazon和企业网络,分配私有IP地址范围,在连接到互联网之前,从云环境运行的应用程序路由流量到内部安全设备。