多家廠商組建云安全聯盟 提供最優解決方案

沒有人會質疑云計算和云存儲的潛在好處，在云環境下，計算資源和存儲資源的訪問都是按需進行的，這樣成本就直接與系統使用情況掛鉤了。但是，那些服務器、應用程序以及云服務供應商托管和管理的數據的安全性如何呢？服務供應商如何保證數據的機密性？那些數據是否會被改動？在需要的時候，它們是否總是能夠被訪問呢？

簡單地回答那些問題也許就能令中小型企業滿意，因為它們利用云服務存儲和管理的數據并不多，但是對于政府機構、受監管更多的企業、以及受薩班斯奧克斯利法案（Sarbanes-Oxley）、健康保險攜帶和責任法案（HIPAA）以及支付卡行業數據安全標準（PCIDSS）等法規監管的零售商們來說，簡單地回答就不夠了。

根據薩班斯奧克斯利法案規定，上市公司必須證實采取了適當的控制機制來保證金融信息不會受到損害，也不能在未獲批準的情況被窺探，網絡零售商必須確保采用了PCIDSS規定的所有控制措施。如果被監管的企業，或審計和監管當局認為云服務供應商不能確?；蜃C實服務的安全性，那么企業IT部門采用的技術就會引發質疑。

隨著越來越多的復雜系統以及具有很高商業價值的數據都轉移到云服務之中，IT安全管理的方方面面也必須進入云服務，包括加密和密鑰管理、電子發現、應用安全和控制、風險以及合規性框架等。

業內多家廠商在周二宣布成立云安全聯盟（Cloud Security Alliance），這個非贏利性組織的任務是推廣各種最優方案，確保云計算服務的安全。

獨立安全分析師、研究員、云安全聯盟的創始成員以及技術顧問Christopher Hoff解釋說："政府里有很多人都想獲得云服務的好處，但是由于安全性以及合規性問題的影響，他們不得不考慮建立專供政府使用的私有云。"

為了減輕與云計算有關的安全顧慮，云安全聯盟召集了大量IT管理、法律、網絡安全、審計、應用安全、存儲、加密、虛擬化、風險管理以及其他領域的專家，為政府機構安全遷移到云環境提供必要指導。

云安全聯盟將在本月晚些時候在2009 RSA安全會議上發布計劃草案。該計劃將詳細檢查信息安全中包括安全架構、信息生命周期管理、業務連續性、災難恢復等在內的15個項目，以及檢查各個項目中的風險和機會。 云安全聯盟的聯合創始人Jim Reavis說："一開始，我們將為企業提供各個領域的實用建議，讓它們在選擇云服務供應商時更好地保護自己。"

Reavis說："我們想要及時提出的忠告是：我應該如何擬訂服務協議來保護我的數據不會被其他人所用？在電子發現方案中，我應該如何保證云服務供應商不會妨害到公司保存和提供所需記錄和信息的能力？我應該如何保證數據不被破壞？在可攜帶性問題上，不同供應商提供的SaaS、IaaS以及PaaS是否相同？如果不同的話，有何風險以及如何減輕那些風險？應該如何利用密鑰管理來調整云計算服務，才能在充分發揮云計算優勢的同時將數據泄密的威脅降到最低？"

Hoff表示，隨著云服務的繼續演進發展，為了確保更好的安全性和合規性，企業反過來也會對云服務的建立造成影響，但是現在還遠遠未到考慮這個問題的時候。