致力于信息安全研究的非盈利性組織——信息安全論壇(ISF)的全球副總裁史蒂夫·德賓提出了這樣的觀點:由于選擇了云計算服務�,越來越多的企業(yè)開始依賴于外部供應商;但在遷移完成后,它們卻忽視了對購買的服務進行定期審核�,以保障數(shù)據(jù)的安全性。并呼吁公共及私營機構與第三方供應商進行更深入的溝通�����,從而對委托的數(shù)據(jù)進行更有效的管理。
史蒂夫·德賓在最近舉行的信息安全研討會上�,進行了主題演講,并對其進行了詳細的說明��。他指出:“對于公司來說��,選擇遷移到云服務中并不意味著以后就萬事大吉��,可以當甩手掌柜了����。在部署完成后,公司忘記進行各方面的監(jiān)控�、聯(lián)絡和審核工作,就等同于放棄了已經獲得的優(yōu)勢”����。
他進一步補充說�����,審計過程也是保證外部供應商對數(shù)據(jù)進行安全管理的有效監(jiān)督���。并且��,德賓警告說��,將IT服務外包給云服務供應商并“不能免除公司在法律方面的要求和法定義務”�。即便公司不需要對信息丟失或泄露負責,也依然可能需要承擔相應的法律責任��。他強調到����,這就是為什么公司需要知道“是誰在提供服務”的原因。
德賓繼續(xù)指出�,到目前為止,還沒有幾家公司針對云服務供應商的背景和業(yè)務紀錄進行過更多的了解工作���。由于在交易完成后����,公司沒有將“商定安全控制清單”加入到合同中��,這就導致了關于數(shù)據(jù)使用和存儲情況的應執(zhí)行條款沒有被包含在內����,從而使問題變得更加復雜。舉例來說�����,在合作關系結束后,由于合同中沒有包含服務供應商必須返還以前所有數(shù)據(jù)的義務�,對于公司來講就不得不選擇放棄多年以來積累下來的客戶數(shù)據(jù)。
因此��,德賓指出為避免這種結果的出現(xiàn)��,對企業(yè)來說����,就意味著必須要考慮到“如果合同到期,會發(fā)生什么事情”的問題�。從概念上來看,這非常類似婚前協(xié)議的范疇�。
云中面臨的安全挑戰(zhàn)
合作主題演講者理查德·盛則強調:對于企業(yè)來說,除了對云部署情況進行跟蹤和評估外�����,還要緊跟企業(yè)級IT環(huán)境的發(fā)展趨勢���,及時選擇必要的安全措施。
趨勢科技負責產品營銷和業(yè)務發(fā)展的區(qū)域董事宣稱�����,由于公司選擇將數(shù)據(jù)從內部預制式數(shù)據(jù)中心遷移到外部虛擬服務器上,這讓云供應商擁有了更大的控制權限�,從而可能導致公司在數(shù)據(jù)安全方面面臨更大的威脅。
理查德·盛指出:“這就是為什么對于那些希望將業(yè)務遷移到云模式中的公司來說��,數(shù)據(jù)安全和保護才是要面臨的最大挑戰(zhàn)的原因”��。為了應對這一挑戰(zhàn)���,這位高管建議公司選擇對云中的數(shù)據(jù)進行加密處理�����,并且采用“無代理”模式為所有的虛擬機(VM)提供統(tǒng)一的安全保護�。
