一、云標(biāo)準(zhǔn)很薄弱
ISO27001是一個(gè)相當(dāng)全面的標(biāo)準(zhǔn),它涵蓋了很多客戶關(guān)心的運(yùn)行安全方面的問題。“這對(duì)于我來說,至少是評(píng)估SaaS供應(yīng)商是否成熟的一個(gè)基本依據(jù),”Wang表示。
然而,將你的數(shù)據(jù)交給通過ISO27001標(biāo)準(zhǔn)的供應(yīng)商并不能保證你的數(shù)據(jù)的安全性。調(diào)查發(fā)現(xiàn),很多公司自稱符合ISO27001標(biāo)準(zhǔn),然后卻承認(rèn)“在特權(quán)用戶管理方面存在不足”,包括在用戶間管理員帳戶的共享以及向用戶授予非必要的更寬泛的特權(quán)。
二、云計(jì)算中的身份驗(yàn)證并不成熟
Forrester分析師ChenxiWang表示,云供應(yīng)商本身并不會(huì)周全地在他們的云計(jì)算平臺(tái)中加入身份驗(yàn)證服務(wù)(通常存在于企業(yè)防火墻后面的服務(wù))。有一些第三方技術(shù)可以讓IT部門加強(qiáng)云計(jì)算中基于角色的訪問控制。但總體而言,“這個(gè)領(lǐng)域目前仍然處于早期階段,”她表示。
“對(duì)企業(yè)應(yīng)用程序的身份驗(yàn)證和訪問控制進(jìn)行管理仍然是IT部門面臨的最大挑戰(zhàn),”根據(jù)云安全聯(lián)盟的研究顯示,“雖然企業(yè)可以部署沒有良好身份驗(yàn)證和訪問管理戰(zhàn)略的云計(jì)算服務(wù),但從長(zhǎng)期來看,將企業(yè)的身份驗(yàn)證服務(wù)擴(kuò)展到云服務(wù)中是非常必要的。”
三、保密
云供應(yīng)商認(rèn)為他們能夠比一般客戶本身更好地保護(hù)數(shù)據(jù)安全,并且SaaS實(shí)際上比大多數(shù)人所想象的更加安全。但是很多客戶覺得這很難相信,因?yàn)镾aaS供應(yīng)商通常對(duì)于他們的安全過程都相當(dāng)保密。
特別是,很多云服務(wù)供應(yīng)商很少會(huì)發(fā)布關(guān)于他們數(shù)據(jù)中心及運(yùn)行的詳細(xì)數(shù)據(jù),并聲稱這樣做將會(huì)破壞安全性。然而,客戶和行業(yè)專家們?cè)缫咽軌蛄怂袘叶礇Q的問題以及保密協(xié)議。
在某些情況下,如果供應(yīng)商愿意,客戶可能可以調(diào)來自己的專家并試圖進(jìn)入供應(yīng)商的網(wǎng)絡(luò)進(jìn)行安全測(cè)試。
四、你并不總是知道你的數(shù)據(jù)的位置
不過這仍然是比較少見的功能,即使數(shù)據(jù)存儲(chǔ)在一個(gè)國(guó)家內(nèi),客戶也需要能夠確認(rèn)數(shù)據(jù)的位置以滿足監(jiān)管要求,這也是EMC正在開發(fā)跟蹤和驗(yàn)證云網(wǎng)絡(luò)中虛擬機(jī)位置的技術(shù),但是這種技術(shù)要到明年才會(huì)面市,并且它要求EMC、VMware以及英特爾產(chǎn)品的整合。
“現(xiàn)在,沒有任何技術(shù)可以驗(yàn)證虛擬機(jī)的位置,”EMC公司VMware技術(shù)副總裁ChadSakac表示,“沒有任何失誤可以阻止你將一個(gè)虛擬機(jī)轉(zhuǎn)移到世界上任何位置,更重要的是,并沒有辦法對(duì)這種轉(zhuǎn)移進(jìn)行審計(jì)。”