搜索
查看: 3801|: 0

云计算风险三个必知内容

[复制链接]

205

主题

5

回帖

755

积分

高级会员

积分
755
发表于 2014-9-18 14:28:38 | 显示全部楼层 |阅读模式

  云计算的高速发展也为试图重新聚焦关键业务目标的企业带来了许多利好,例如提高产品上市的速度、增加企业竞争的优势以及降低资本和/或运行的开支等等。
  通常来说,对诸如软件即服务(saas)或基础设施即服务(iaas)的云计算技术进行投资就能够降低对企业内部传统信息技术部门的服务需求。而由企业业务部门管理(例如培训、人力资源、工资和医疗管理等)的服务也会随着云计算的应用而逐步减少。
  虽然投资资本与运营运行的成本有所降低,但是由于黑暗网络中信息经纪人的兴起云计算的风险也有所增加。这些恶意的组织会交易和销售包括个人身份、金融信息乃至知识产权在内的所有信息。
更多
  从传统意义上来说,只有保存在公司内部的信息才是安全的,因此实施云计算必然会加剧信息泄露的风险。此外,那些专门从事信息中介业务的人士也让云计算供应商成为了他们的目标,因为他们非常了解他们所控制宝库的相关信息。为了管理好云计算风险,首先了解风险到底是什么将是非常重要的。
  云计算风险的来龙去脉
  所谓风险,也就是指我们不希望发生的事件发生的概率。在信息安全领域,风险就是一个恶意或非恶意暴露机密信息事件、或威胁数据一致性以及干扰系统和信息可用性事件发生的概率。任何接入互联网的组织都处于风险之中,他们都应考虑黑暗网络的弹性特性和扩展私有云计算和公共云计算网络的能力。数据交换有合法的和非法的,而一家企业的互联网接入就为合法的数据交换(例如电子邮件、vpn以及ftp等)以及诸如恶意软件、信息收集和窃听等敌对性的数据交换提供了的信息传输回路。
  敌对数据交换并不是一家组织或者甚至个人所希望进行的数据交换。通常情况下,其结果就是等待恢复的停机时间、收入损失、数据丢失、影响人力资本以及相关名誉受损。如果某个组织是一个受管制行业中的一员,那么这个组织就有可能由于发生敌对事件的原因而受到处罚。即便企业没有受到相关处罚,但是他们也无法承受因发生安全事件丑闻而造成客户流失和商业合作伙伴失去信心这样的严重后果。
  一直以来,云计算所倡导的就是:我们可以做得更好,更便宜。你来关注你的核心业务问题,而我们来更具成本效益地管理你的技术并保护你的数据。虽然这有可能是真的,但是云计算供应商也与其他企业面临着相同的挑战。鉴于其特殊的业务模式,云计算供应商可能比一家典型企业面临着更多的挑战。例如,云计算供应商可能会迎合一个利基行业,如信用卡业。如果大家都知道这家云计算供应商掌握了所有客户持有的信用卡信息,那么它也就会成为黑暗信息经纪人的目标。信息经纪人会兜售客户身份或信用卡或者制造伪造的信用卡,而一个成功的黑客可能会从中受益。
  云计算供应商的风险还存在于使用云计算服务的客户中。无论客户的物理、逻辑和虚拟隔离和细分的量有多少,云计算基础设施都共享了共同的能源、硬件、应用程序以及网络资源。当云计算服务供应商提供saas服务时,它会信任企业用户并让用户自己确保其用户id和密码的安全性。与之类似,用于访问saas的计算资源也必须是安全的。如果企业用户遭到入侵,诸如用户id和密码等信息被泄露,那么一个经验丰富的信息收集者就有可能会凭此访问saas应用程序并确定访问其他客户数据的方法。顷刻之间,其它企业用户的云计算环境的保密性、完整性以及可用性都岌岌可危了。
  最后的风险就存在于云计算供应商及其技术专业的水平了。供应商们必须接受风险转移,并理解和遵守相关规定。他们也面临着与其他所有企业相同的挑战,其中尤其是吸引和留住人才。当人力资本不再是云计算供应商成功吸引和留住人才的主要因素时,整个云计算环境就有可能由于一个蚁穴而崩溃。缺乏可扩展性、无法提供丰富的功能集或者无法提供足够的安全性和私密性保障都会影响云计算供应商吸引和留住客户的能力。
  风险转移是云计算的一个组成部分,因为供应商必须以合同协议的形式承诺提供一定的服务水平。该服务的一部分涉及到确保信息资产的安全性。如果由于云计算供应商未能对行业最佳实践和法规开展尽职的调查而发生相关恶性事件,那么它就应负责通知受事件影响的相关人员并展开诉讼行动。一家云计算供应商必须做好准备通过审核和认证,以确认其云计算基础设施将仍然保持可用性和安全性。它还必须为响应安全事件而做好准备。即便他们的初衷是良好的,但是诸如零日漏洞攻击这样的事件还是会发生,并渗透到最佳安全架构中。
  同样,了解必要的法规也是非常重要的。出于隐私性方面的考虑,金融诚信和国家安全组织通常至少必须遵守一项规定。大多数的组织都会有多个规定需要遵守。以下,让我们来看看一个管理信用卡数据的全国性组织的例子。这家组织必须遵守联邦政府的要求以及那些可能比联邦法律更为严格的特定地区法规。而全球性组织则还需增加一层复杂性,即他们必须遵守美国的法规以及他们开展业务的所在国家的国际性法规。云计算供应商们必须在理解法规以及如何遵守法规方面有大的投入,因为他们的违规也意味着企业用户的违规,而他们有为他们的客户和法规提供合规性保障的最终责任。

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

大数据中国微信

QQ   

版权所有: Discuz! © 2001-2013 大数据.

GMT+8, 2024-11-23 16:36 , Processed in 0.121651 second(s), 25 queries .

快速回复 返回顶部 返回列表