■曹剛

理解云計(jì)算的風(fēng)險(xiǎn)所在是保護(hù)以云計(jì)算為中心的企業(yè)的關(guān)鍵。在本文中，ravilahelen white 解釋了云計(jì)算風(fēng)險(xiǎn)的三個(gè)必知內(nèi)容。

云計(jì)算的高速發(fā)展也為試圖重新聚焦關(guān)鍵業(yè)務(wù)目標(biāo)的企業(yè)帶來了許多利好，例如提高產(chǎn)品上市的速度、增加企業(yè)競(jìng)爭(zhēng)的優(yōu)勢(shì)以及降低資本和/或運(yùn)行的開支等等。

通常來說，對(duì)諸如軟件即服務(wù)(saas) 或基礎(chǔ)設(shè)施即服務(wù)(iaas)的云計(jì)算技術(shù)進(jìn)行投資就能夠降低對(duì)企業(yè)內(nèi)部傳統(tǒng)信息技術(shù)部門的服務(wù)需求。而由企業(yè)業(yè)務(wù)部門管理(例如培訓(xùn)、人力資源、工資和醫(yī)療管理等)的服務(wù)也會(huì)隨著云計(jì)算的應(yīng)用而逐步減少。

雖然投資資本與運(yùn)營(yíng)運(yùn)行的成本有所降低，但是由于黑暗網(wǎng)絡(luò)中信息經(jīng)紀(jì)人的興起云計(jì)算的風(fēng)險(xiǎn)也有所增加。這些惡意的組織會(huì)交易和銷售包括個(gè)人身份、金融信息乃至知識(shí)產(chǎn)權(quán)在內(nèi)的所有信息。

從傳統(tǒng)意義上來說，只有保存在公司內(nèi)部的信息才是安全的，因此實(shí)施云計(jì)算必然會(huì)加劇信息泄露的風(fēng)險(xiǎn)。此外，那些專門從事信息中介業(yè)務(wù)的人士也讓云計(jì)算供應(yīng)商成為了他們的目標(biāo)，因?yàn)樗麄兎浅Ａ私馑麄兯刂茖殠?kù)的相關(guān)信息。為了管理好云計(jì)算風(fēng)險(xiǎn)，首先了解風(fēng)險(xiǎn)到底是什么將是非常重要的。

云計(jì)算風(fēng)險(xiǎn)的來龍去脈

所謂風(fēng)險(xiǎn)，也就是指我們不希望發(fā)生的事件發(fā)生的概率。在信息安全領(lǐng)域，風(fēng)險(xiǎn)就是一個(gè)惡意或非惡意暴露機(jī)密信息事件、或威脅數(shù)據(jù)一致性以及干擾系統(tǒng)和信息可用性事件發(fā)生的概率。任何接入互聯(lián)網(wǎng)的組織都處于風(fēng)險(xiǎn)之中，他們都應(yīng)考慮黑暗網(wǎng)絡(luò)的彈性特性和擴(kuò)展私有云計(jì)算和公共云計(jì)算網(wǎng)絡(luò)的能力。數(shù)據(jù)交換有合法的和非法的，而一家企業(yè)的互聯(lián)網(wǎng)接入就為合法的數(shù)據(jù)交換(例如電子郵件、vpn 以及ftp 等)以及諸如惡意軟件、信息收集和竊聽等敵對(duì)性的數(shù)據(jù)交換提供了的信息傳輸回路。

敵對(duì)數(shù)據(jù)交換并不是一家組織或者甚至個(gè)人所希望進(jìn)行的數(shù)據(jù)交換。通常情況下，其結(jié)果就是等待恢復(fù)的停機(jī)時(shí)間、收入損失、數(shù)據(jù)丟失、影響人力資本以及相關(guān)名譽(yù)受損。如果某個(gè)組織是一個(gè)受管制行業(yè)中的一員，那么這個(gè)組織就有可能由于發(fā)生敵對(duì)事件的原因而受到處罰。即便企業(yè)沒有受到相關(guān)處罰，但是他們也無法承受因發(fā)生安全事件丑聞而造成客戶流失和商業(yè)合作伙伴失去信心這樣的嚴(yán)重后果。

一直以來，云計(jì)算所倡導(dǎo)的就是：我們可以做得更好，更便宜。你來關(guān)注你的核心業(yè)務(wù)問題，而我們來更具成本效益地管理你的技術(shù)并保護(hù)你的數(shù)據(jù)。雖然這有可能是真的，但是云計(jì)算供應(yīng)商也與其他企業(yè)面臨著相同的挑戰(zhàn)。鑒于其特殊的業(yè)務(wù)模式，云計(jì)算供應(yīng)商可能比一家典型企業(yè)面臨著更多的挑戰(zhàn)。例如，云計(jì)算供應(yīng)商可能會(huì)迎合一個(gè)利基行業(yè)，如信用卡業(yè)。如果大家都知道這家云計(jì)算供應(yīng)商掌握了所有客戶持有的信用卡信息，那么它也就會(huì)成為黑暗信息經(jīng)紀(jì)人的目標(biāo)。信息經(jīng)紀(jì)人會(huì)兜售客戶身份或信用卡或者制造偽造的信用卡，而一個(gè)成功的黑客可能會(huì)從中受益。

云計(jì)算供應(yīng)商的風(fēng)險(xiǎn)還存在于使用云計(jì)算服務(wù)的客戶中。無論客戶的物理、邏輯和虛擬隔離和細(xì)分的量有多少，云計(jì)算基礎(chǔ)設(shè)施都共享了共同的能源、硬件、應(yīng)用程序以及網(wǎng)絡(luò)資源。當(dāng)云計(jì)算服務(wù)供應(yīng)商提供saas 服務(wù)時(shí)，它會(huì)信任企業(yè)用戶并讓用戶自己確保其用戶id 和密碼的安全性。與之類似，用于訪問saas的計(jì)算資源也必須是安全的。如果企業(yè)用戶遭到入侵，諸如用戶id 和密碼等信息被泄露，那么一個(gè)經(jīng)驗(yàn)豐富的信息收集者就有可能會(huì)憑此訪問saas 應(yīng)用程序并確定訪問其他客戶數(shù)據(jù)的方法。頃刻之間，其它企業(yè)用戶的云計(jì)算環(huán)境的保密性、完整性以及可用性都岌岌可危了。