在許多關(guān)于這一話題的調(diào)查中，安全問題總是一個重要顧慮,，它們也因此成為了許多IT商店的頭等大事,。目前已經(jīng)有了一些安全標(biāo)準(zhǔn)創(chuàng)新方案，這些標(biāo)準(zhǔn)可能最終會幫助消除一些問題,，但是目前距離這些標(biāo)準(zhǔn)的出臺還有很長的一段路要走,。

現(xiàn)在有一件事情以明確，即在沒有親自進(jìn)行充分調(diào)查之前不要做任何假設(shè)。市場研究公司Gartner 的分析師Jay Heiser一直致力于研究企業(yè)和法規(guī)所面臨的潛在風(fēng)險,。Heiser 稱：“服務(wù)提供商可能正在為保護(hù)數(shù)據(jù)做大量工作,，或是正在創(chuàng)建安全性更好的應(yīng)用框架，這固然不錯,，但是最大的問題在于你如何確定他們正在做這些工作,。如提供商無法(通過測試和數(shù)據(jù)驗證)證明他們產(chǎn)品的安全性像他們所宣傳的那樣。如此一來,，你將無法做出是否選擇他們的決定。”

印第安納大學(xué)摩利爾法學(xué)院網(wǎng)絡(luò)安全應(yīng)用研究中心主任Fred Cate稱,，在涉及云安全時,，公司所面臨的最大一個難題是，誰應(yīng)當(dāng)在法律方面承擔(dān)負(fù)責(zé),。

Cate 稱：“云服務(wù)提供商認(rèn)為公司應(yīng)當(dāng)為此承擔(dān)責(zé)任,，而公司則認(rèn)為云服務(wù)提供商應(yīng)當(dāng)承擔(dān)責(zé)任。為了解決這一問題,，一些公司選擇了微軟等值得信賴的服務(wù)提供商,。”不過，他指出,，這一做法導(dǎo)致客戶的可選擇性大幅降低,，同時這一做法也不能確保數(shù)據(jù)的安全性，因為你僅僅為你的云基礎(chǔ)設(shè)施選擇了一個知名的服務(wù)提供商而已,。

幸運的是,，一些新技術(shù)正在幫助確保云的安全，至少對于員工來說將知識產(chǎn)權(quán)或敏感數(shù)據(jù)公布在公有云上將變得更加困難,。

 

美國聯(lián)合航空公司：在飛機(jī)上部署云計算

 

美國聯(lián)合航空公司開始著手進(jìn)行一項激進(jìn)的試驗,。美聯(lián)航今年將為機(jī)組成員提供10000部蘋果iPad。這些iPad將替代存放手冊,、航圖和其它用于飛行準(zhǔn)備的非敏感信息的飛行包,。機(jī)組成員可訪問Jeppesen等托管服務(wù)提供商，以獲得在線飛行手冊服務(wù) ,。美聯(lián)航還將iPad作為更新公司新聞和員工信息的通訊工具,。

John Van Hoogstraten為美聯(lián)航負(fù)責(zé)IT安全與風(fēng)險管理的常務(wù)董事。他稱,，公司傾向于逐漸開展與云相關(guān)的部署,，但是由于iPad等移動設(shè)備具有許多優(yōu)勢，因此他們無法再推遲相關(guān)的部署事宜,，這些優(yōu)勢包括可以更好的管理飛行手冊,，降低燃料成本，因為機(jī)組成員不必再攜帶沉重的飛行包。

他稱,，公司目前正在使用賽門鐵克的產(chǎn)品進(jìn)行身份管理和病毒防護(hù),，下一步他們將考慮部署名為“賽門鐵克O3 云身份與訪問控制”的單點登錄產(chǎn)品以執(zhí)行單一認(rèn)證程序。

美聯(lián)航負(fù)責(zé)IT安全與風(fēng)險管理的常務(wù)董事John Van Hoogstraten稱,，他們正在考慮使用單點登錄技術(shù)以簡化云軟件的認(rèn)證,。

Hoogstraten ：“我們需要使用一個安全的認(rèn)證系統(tǒng)以確保使用iPad的人的身份，尤其是在飛行員飛往那些缺乏安全保障的第三世界國家時,。”他的計劃是使用單點登錄,，因為其可以接入美聯(lián)航的活動目錄(Active Directory)系統(tǒng)并為機(jī)組成員訪問服務(wù)提供商提供一個入口。這意味著飛行員不必多次登錄不同的服務(wù),，這樣一來可以節(jié)省飛行員們的時間,。

單點登錄是最常見的一種處理云安全問題的新機(jī)制。這意味著在發(fā)生問題時只有一個故障點,。O3 將作為一種工具在數(shù)據(jù)中心運行,，這意味著所有的云訪問都將流經(jīng)該設(shè)備，這有可能會降低連接速度,。

Heiser 稱：“單點登錄解決了云安全的根本問題,，即便捷性與安全性的平衡。當(dāng)然,，認(rèn)證并不總是最大的問題,。讓我們回顧一個Gmail(密碼)事故吧。在事故中,，人們能夠輕易地獲得訪問權(quán),。許多公司應(yīng)當(dāng)意識到密碼存在缺陷。”

為了解決這一問題,，賽門鐵克使用了雙因素認(rèn)證,。典型的情況是，員工需要安裝在iPad上的標(biāo)記ID和密碼才獲取訪問云服務(wù)的訪問權(quán),。

Cate稱,，在處理類似iPad訪問公司系統(tǒng)的新安全問題中，一個穩(wěn)妥的解決方案是將安全審計作為部署內(nèi)容的一部分,。安全審計的一個好處是你可以發(fā)現(xiàn)一些潛在的風(fēng)險,，例如過度依賴于某一種策略。“如果你將大量數(shù)據(jù)存儲在一個地方,，那么你就越容易成為被攻擊的目標(biāo),，同時你也就越值得黑客花時間攻擊你。”

他稱,，安全評估必須要細(xì)致,，除了數(shù)據(jù)存儲和策略外,，還要檢查類似iPad或智能手機(jī)等特定的設(shè)備。這意味著要使用自動化風(fēng)險管理工具和進(jìn)行風(fēng)險評估,。例如,，美聯(lián)航飛行員將率先使用iPad交流公司中發(fā)生的新聞。如果執(zhí)行官們決定將向地勤人員部署平板電腦,，那么公司應(yīng)當(dāng)對整體風(fēng)險進(jìn)行評估,。

“每個公司都應(yīng)當(dāng)考慮這些問題：如果這么做的話，將會遇到多少麻煩?這么做的風(fēng)險是多大?不要僅關(guān)注在法律生產(chǎn)上的麻煩,，還要關(guān)注對公司聲譽和股東帶來的影響,。”

 

羅克福德市：將社交網(wǎng)絡(luò)記錄存在云上

 

對于美國伊利諾斯州的羅克福德市來說，任何涉及云計算的解決方案都受到了政府法規(guī)的約束,。例如,，伊利諾斯州出臺了《本地記錄法案》。該法案規(guī)定公共記錄,，包括基于云的數(shù)據(jù)都必須留檔一段時間。不過具體多長時間,，州和市的規(guī)定不盡相同,。

與此同時，羅克福德市決定啟動新的交流方式與市民進(jìn)行互動,。該市的一名Web開發(fā)員與管理員Kevon Hayes稱,，市政府希望使用推特或臉譜，但是他們必須要找到一個辦法以確定這些數(shù)據(jù)的備份能夠被安全存儲,，并且在需要的時候能夠被重新取回,。

Kevon Hayes稱，市政府希望使用推特或臉譜,，但是為了遵守本地記錄法,，他們必須要找到一個辦法確保這些數(shù)據(jù)的備份能夠被安全存儲。

羅克福德市選擇了Backupify服務(wù),。該存檔服務(wù)能夠掃描市政部門領(lǐng)導(dǎo)發(fā)至社交網(wǎng)絡(luò)上的貼文,，并將這些數(shù)據(jù)存儲到亞馬遜S3云存儲服務(wù)上。

Hayes稱,，大約有1000名雇員和6名部門領(lǐng)導(dǎo)會向社交網(wǎng)絡(luò)發(fā)貼,。他每三個月就會檢查一下位于亞馬遜上的XML數(shù)據(jù)，查看一下社交網(wǎng)絡(luò)記錄是否存儲在那里,。

Backupify還是一款可對來自谷歌Apps,、 Gmail和Salesforce的數(shù)據(jù)進(jìn)行存檔的備份工具。由于數(shù)據(jù)被存儲在亞馬遜S3上,，因此羅克福德市的數(shù)據(jù)能夠通過亞馬遜服務(wù)向多個遠(yuǎn)程位置傳輸,。

Alan Brill為風(fēng)險管理公司Kroll的一名分析師,，他認(rèn)為云安全不僅僅是加密遠(yuǎn)程連接和對用戶進(jìn)行認(rèn)證。許多公司都忽視了員工在日常工作中訪問社交網(wǎng)絡(luò)和消費者網(wǎng)站的行為,。

Brill 稱：“公司是否將社交網(wǎng)絡(luò)納入其云安全整體策略中非常關(guān)鍵,。所有的事情都存在風(fēng)險。公司需要一些工具,，以清楚正在發(fā)生什么事情,，誰正在將什么信息貼在云上，以及如何獲得這些數(shù)據(jù),。”

Cate 稱：“云備份的最大優(yōu)勢是增加了靈活性,。用戶可以通過臺式機(jī)或遠(yuǎn)程設(shè)備隨時隨地獲取存檔的數(shù)據(jù)。目前用于備份的磁帶會出現(xiàn)退磁理現(xiàn)象,，用戶必須對備份手段進(jìn)行升級,。另一方面，選擇云服務(wù)將會導(dǎo)致用戶將具有重要價值的資源交到別人手中,。因此用戶應(yīng)當(dāng)對這一需要進(jìn)行全面細(xì)致的調(diào)查,。”

Cate認(rèn)為，公司需要對數(shù)據(jù)存儲位置進(jìn)入調(diào)查,。如果存儲行為會跨越國家邊境,，用戶應(yīng)當(dāng)及時確認(rèn)這么做在法律方面會出現(xiàn)什么樣的后果。如果數(shù)據(jù)被存儲在其他國家,，用戶需要確認(rèn)可以自由地訪問這些數(shù)據(jù),。