我们是否应该信任云计算？

云计算，新一代计算模式的代名词，它带给我们在策略和进程方面的变化，就像是蓝天上的云朵，可以不断地变化其形状。而在使用云的同时，你又怎样才能确保数据的安全性呢？那好，我们不妨先来提出几个问题：数据存放的物理位置是哪里？数据是如何被保护的？谁可以访问数据？如何将数据取回……

重写启动手册

创建一个新的软件公司并不难，但在公司成功的道路上，最难的是能够有决心重构旧的规则，以适应网络时代的实时需要。当然，获得风险投资或是天使投资基金则是公司启动的第一步。

去年，当全球金融危机到来时，美国政府更多的回应是为了帮助那些曾“如磐石般坚固”的机构，恢复公众对它们的信心。而现在的我们都已经意识到这些所谓的基础并非像我们之前一直认为的那样坚固，但结果是，即使在当前这种投资回报锐减的时候，美国政府还要求公众信任那些机构，那么此时公众必然会持怀疑态度。

当然，我们还没有去深究曾无数次发生的银行破产和金融恐慌事件，毕竟这些都不是什么稀奇的事情。让我们来看一看当前危机下相对有益的一面——如果它真的存在——我们现在已经被阵痛所唤醒，虽然我们失去了很多，但我们要从失去中吸取经验，从而变得更加明智，而首先就是要抛弃我们曾经拥有的金融满足感（financial complacency）。

当IT公司评估服务供给商提供给它们的多种云服务时，很重要的一点是要时刻考虑到这次国际金融危机带给我们的教训，并且意识到从某种意义上讲，将你的数据交给云，就像选择一款投资工具，一定要注意它们的基本属性，比如安全性、可用性以及流动性。

从根本上来说，对于关键属性地考量同样适用于任何IT初创公司——安全性一直都必须是最重要的考量项目。同时，有两个实际因素会对云服务的适用性和安全性提出挑战，我们现在来关注这两个事实。

首先是一个很清晰的事实，云计算是一种新的计算模式，因此很多早已建立的策略和进程在那些不求改变的传统IT公司中可能不再适用，或者需要进行必要的修改以适应云的搭建。

此外，随着公共云和其他外部云服务的出现，在控制权方面势必会被剥离，至少会被部分剥离——此时使公司能够完全了解由控制权缺失而产生的后果，以及如何确保数据安全性是最为关键的。

在黑暗中寻找光明

虽然关于云中的数据保护问题还有很多，但并非只有这些负面信息。对于很多采用云服务的用户来说，实际上它们是有一定优势的，同时他们也可以提高数据的可用性、增强数据保护能力及安全性。因此，根据所提供的服务和特定的提供者，其中的一些关注点可以转化为优势。

针对我们已讨论过的关注点，一些云服务的提供者已经建立了相应的数据安全措施，可以完全胜任用户的需求。比如，在网络入侵防护、探测及访问控制方面，更多的成熟策略进程已经更强大，监控机制也已经就绪了。

从数据可用性和数据保护的角度来看，将数据分布在多个地理位置的云服务商可能会提供一系列的灾难恢复步骤，并且能够得到更快的访问响应（试想一下，数据在地理上分散，用户访问分布式的云服务的速度会明显快于一个通过慢速网络连接到公司总部的速度）。同时，不要忘记借助这些分散的云，提供商可以提供更多强大的数据备份功能的成本是很低的。

对于安全和数据保护的报告和审计控制机制是很多公司都会面临的一个共同的挑战。一个云提供商，特别是如果它可以提供全面的服务等级协议（SLAs），就可能提供更多完整的数据保护报告，这样就可以减轻一些监管负担。

利用云服务

在公司内部，用户可能会有很多机会用到云服务。很多公司已经通过SaaS提供者部署了应用程序，而并非在公司内部托管这些应用程序。此外还可以在中间件层、服务器层以及存储服务层利用云服务。同时，云提供商还提供一整套不同安全级别的服务，从没有安全保护机制的服务到那些高安全级别的数据安全保护服务（比如访问控制和加密功能）以及其它形式的保护措施。

这时，不要认为缺少特定保护措施的服务是没有任何价值的。问题的关键是理解需求，使安全性与具体的服务保持一致。一个特定的数据集或应用程序可能不需要一整套的安全机制。云的一个主要吸引力体现在你可以自由的选择，使你的服务组合刚好符合你对于某个功能的要求，并且你也应该知道有很多应用程序在云中并不需要保护。

公司在考虑选择云服务之前，应该对服务层属性已经有了一个清晰的理解，比如关于数据保护和数据可用性等基本属性。假定存在多个服务层，它们是针对企业的不同需求而定制的，那么其中的某些服务就应该能够完成诸如数据迁移的功能。除此之外就是要确保用户对安全、性能等的需求并且确定所选的云服务是否满足这些需求，而用户每一步的选择和努力都应该符合服务等级协议（SLAs）的相关要求。

当前，各层云服务都在迅速的发展中，每天都会有新的服务面世。这就意味着企业可以有越来越多的选择来针对其特定需求量体裁衣，最终达到成本收益最优化的结果。虽然使用云服务只是众多IT服务的一个特殊领域，但云服务也会随着总体IT服务水平的提高及公司对于云管理理念的发展而得到不断的扩张。

而对于不断扩张的最根本保障就是要有一套成熟的、以服务为重点的数据安全保护方法。

衡量任一种云服务之前要问的关键问题

我的数据存放在哪里？

虽然你的数据在逻辑上可能被存储在云中，但它的物理位置可能位于一个或多个地点。理论上数据可以被存放在任何地方---甚至在本国以外。找出数据的位置是很重要的一点，因为这会对数据的可用性产生影响，同时还会牵扯到合规和法律问题（因为敏感信息很可能会被存储在国外，而这时就会存在不同管理规则相互冲突的问题）。

我的数据是如何被保护的？

这是一个涉及到多个领域的问题，包括可用性、可恢复性以及安全性等。现在我们暂时将安全性放在一边，转而考虑一下传统的数据保护问题。数据如何被保护才能防止丢失及损坏？镜像、复制、备份或其它方式？理想的情况下，多份数据拷贝且分散储存是一个不错的方式。

谁能看到或访问我的数据？

为了提高效率以及降低财务支出，大多数云服务使用了多重租赁模型---你的数据与其他数据共同存储在同一数据库中。了解访问过程和可视性是如何被管理和记录的，这一点很重要；同时，采取何种方式确保安全性和保密性也是不容忽视的一点。

同时，这还牵扯到了云服务提供者的工作人员。系统管理员到底能够看到什么？很多云提供者利用托管设备---因此实际上可能会存在根据主机所提供服务的不同而具有不同访问权限的云提供者。此外，对于大都关心的问题诸如云服务对于入侵探测、黑客攻击、攻击后控制等防控能力的了解也是很重要的。

如何才能取回我的数据？

在将来的某一天，你可能想要将你的数据或程序在本地存储，甚至你想要更换你的服务提供商。而在结束了你和云提供者的关系之后，你的数据到底会被怎样处理？你的数据被清理了吗？都有什么移动数据的方式？

云服务的合规影响是什么？

除了有关访问和可视性等安全性问题以外，同样存在诸如合规一致性等其他领域的问题。例如，如果必须提供数据保管链的审计细节，在云中如何才能实现？

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。