在2011年,索尼曾遭遇數據泄露,涉及其云端數以千萬計客戶的信息,也出現過極少數從云中泄露個人身份信息的其他泄露事故。市場領先的云服務供應商亞馬遜Web服務在過去兩年經歷了三次重大中斷。在經歷2011年4月的彈性計算云(EC2)中斷后,一定程度上的數據已經無法挽回。Evernot在2010年丟失了6000名客戶的數據,而Carbonite在2009年丟失了部分客戶的備份數據。
很多這些中斷事故是由系統升級中存在的錯誤造成的。例如,亞馬遜表示其最近的數據中斷是因為安裝在其數據中心的心的硬件而造成的。亞馬遜的中斷導致Reddit、Imgur和其他流行網站被關閉,亞馬遜在事故后進行了善后工作。
目前,安全問題仍然是企業部署云計算資源的主要抑制,最大的問題不是在云環境中數據可能被破壞,而是可能出現云中斷,從而導致數據丟失。目前存在這樣一種看法,即使用云計算最大的風險是關鍵數據可能被泄露,但是我們很少看到這樣的情況,可以說屈指可數。
現在更普遍的是云中斷和數據丟失,在這方面,企業的準備工作非常欠缺。這些問題一遍又一遍地出現,所以它們很可能會再次出現。盡管這是云用戶最關注的問題之一,但根據Gartner最近的調查顯示,只有一半的企業部署了程序來評估期業務連續性流程。他補充說,安全泄露問題不應該被忽略,但更為緊迫的問題是圍繞在業務連續性上。
云計算行業正在慢慢解決這些問題,但是正在試圖推動云安全改進的供應商、用戶和第三方機構應該要做得更多。
在服務水平協議(SLA)中,供應商一直不愿意解決數據丟失的安全可恢復問題。大家都在抱怨說,云服務供應商對于他們具體如何保護客戶一直含糊其辭。一些供應商表示,他們不會公布這方面的信息,是因為這樣做可能會存在一定的安全風險。供應商多次聲稱能夠提供高水平的數據可用性和保密性,但Heiser表示,他們并沒有提供相關證據,來讓客戶驗證其說辭。
在這方面,用戶應該更加積極主動。用戶需要做的第一件事情是分類數據,標記真正需要保護的數據。不完整或者不存在的數據分類是一個常見的問題。Heiser表示:“如果用戶不知道特定數據所需要的與其他數據不同的安全要求,這將很難評估供應商是否能夠提供足夠的安全性。”
第三方組織正在努力為這些方面制定標準和認證,但Heiser表示,目前這方面仍然很欠缺。例如,云安全聯盟采取了廣泛的措施來解決各種問題,但這些措施不夠深入到解決特定領域的根本問題。
那么,企業云用戶應該做些什么?選擇你的云控制‘戰役'.宏觀趨勢是越來越多的數據將出現在越來越多的最終用戶設備中,這讓控制數據變得更加困難,同時創造更多漏洞。通過數據分類,企業可以優先考慮需要高度安全保護的數據。對于大多數企業而言,極為重要的數據將低于總數據的20%,甚至可能低至5%或者更少。對于這些數據,企業應該“拼死保護”,采用加密、令牌化、數據丟失防御系統或者將這些數據保存在企業內部,而不是公共云中。還應該部署殺毒軟件、反惡意軟件和其他安全保護以及控制來確保其他數據不會太容易受到攻擊。在現在的情況下,現實的情況是,大部分數據將需要保護自己。
