雲計算和應用安全所面臨的問題與風險

毫無疑問，雲計算具備了眾多的好處。從規模經濟到應用可用性，雲計算絕對能夠為您的應用環境帶來一些積極的因素。

在it行業中有許多人（特別是**商）都認為一旦應用脫離了實際設施而步入雲的世界，需要為之擔心的因素必將會減少。好吧，也許是這樣，也許並不是這樣。但有一件事情是肯定的，它並不是那麼的簡單。

對於許多人來說，雲計算並不會神奇地令您應用的安全責任消失。

我聽說管理部門主要關注於移動裝置和遠端通訊。有些人說：他們太冒險。

然而，這些人中有許多都願意將對他們業務應用和敏感資料的控制託付給雲，他們認為這沒有任何問題。這是一種幼稚的想法。無論計算在何處進行，在技術、人員、業務流程這些不變的區域內都會存在安全問題。

這裡有一些關於雲計算安全的誤解以及不能被忽視的因素。

實際上雲應用的每個方面幾乎都會受到影響並不只是通常的通過80埠和443埠的http通訊。從使用者身份驗證到交易處理的後端資料訪問，甚至到網路服務暴露都需要考慮當然也包括安全。有趣的是，這與在我們老學校資料中心配置中應用安全所關注的因素並沒有很大的差別。

但不要忽略相關的細節。

關於資料混雜的問題。您的敏感資料是否將與其他人的系統混雜？過去共享網路伺服器總是讓我感到不安，如果乙個站點被攻破，伺服器上的其他站點同樣處於危險之中。

有了雲計算，事實上osi從1到7層上每個部分都是共享的並不總是應用層所以其攻擊面將成倍增加。

入侵檢測和原始碼分析仍舊是必要的。我預計某些服務**商將提供安全評估的服務至少在作業系統和網路層對每個人的系統進行評估。一旦您涉及了第七層，那麼每個應用都是獨一無二的，而安全問題也是如此。

安全審查和任何電子發現請求都會因為雲的複雜性而變得更為複雜。如果伺服器啟動過於匆忙則更是這樣，即便您可能還不知曉。安全審計記錄和監測系統需要得到加強，而事故響應處理也需要進行更新。

有乙個普遍的說法就是，當每個事物置身於雲中，諸如資料洩漏和系統監控之類的事件就將得到簡化。我不明白那與現今一般的應用環境有何本質的區別。大多數的應用都有乙個前端平台，乙個後端系統以及其間的一些架構。

除非您已經得到了乙個真正獨特的配置，可以實現對網際網路上的應用和資料庫響應，否則您仍舊擁有與現在資料中心中幾乎完全相同的環境。對於安全問題而言也是如此。

雲中的安全往往是無形的。與周邊環境內的安全控制不同，您往往看不到它是否工作，甚至不知道是否它是否啟用。這不僅引發了安全的錯覺而且帶來了對於是否確實鎖定的憂慮。

我見過某些雲**商在兜售他們強化安全的虛擬化架構。這與託管**商多年來所提供的並無不同，所以不要去過多地關注這個所謂的附加價值。

無論在雲中有多少事情是所謂鎖定的，只要我們以目前的習慣使用客戶端，那麼在客戶端仍然存在著並且總是存在著其他的考慮因素。您不能忽視端點以及隨之存在著的所有安全複雜性。

易用性仍舊是乙個問題。您的服務提供商的控制是否將融入您客戶交易業務的方式？他們是否預設以拒絕所有的方式進行設定？

或者是否每個事物從一開始都是啟用的？對於這些問題，將採取什麼樣的方法來應對？安全與便利將是我們要一直持續下去的一場戰鬥，但是有時候它又是如此明顯而被忽視，讓客戶感到失望。

說了這些缺點，我並不是說不要購買雲計算，只是不要對**商的炒作過於認真。在雲中ssl和vpn並不是安全問題的答案，當然敏感資料庫加密也不是。私有雲從某種程度上比公共雲減少了暴露的程度，但並不是所有的應用通訊和交易網路是與網際網路繫結的。

所以您仍舊必須考慮來自內部的威脅。這就讓我們回到這樣的乙個事實，即我們必須以某些老式的常識和可行的層安全來處理它，而不僅僅是在雲中。

您還要問您自己對於服務**商所告訴的一切會信任多少。我在工作中經常發現，本來按照合同或法律規定廠商需要在保證安全的前提下完成x、y或z業務，但他們卻總是忽略了某些東西的重要性。換而言之，就是要經常溝通。

律師和立法者可以整天自行制定需求，但是那並不意味著需要完成的事情能夠得到完成。

無論雲**商如何許諾，其實並不存在諸如現成的應用安全。不管如何去實施，雲計算都不是安全的。因此，無論你編寫、遷移或者完全將應用外包到雲，永遠永遠也不要假定所有的應用是安全的。

應用安全不是那麼簡單的。