在微軟、IBM等美國公司的鼓噪下，云計算成為被炒上了天的“高新技術(shù)”。實際上，云計算不過是應(yīng)用模式的轉(zhuǎn)變，遠不是這些鼓吹者所描繪的玄乎。目前，信息安全工作人員曝出云計算在安全方面存在七宗罪，他們認(rèn)為這七宗罪足以抵消云計算所帶來的好處。

　　不少首席信息安全官認(rèn)為，使用云方案以后就可以高枕無憂了;但如果他們知道云在程序運行中出現(xiàn)了多少錯誤后或許會變得夜不能寐。

　　用戶登錄的檢查核對機制不完善

　　安全登錄云的唯一方式就是通過企業(yè)身份管理系統(tǒng)。很多云服務(wù)允許企業(yè)的任何人不通過企業(yè)網(wǎng)站注冊，就可創(chuàng)建自己云服務(wù)的用戶名與密碼，并能把云服務(wù)的授權(quán)證書與其私人郵箱地址連接。這種現(xiàn)象時有發(fā)生，但這并不意味著IT部門或者企業(yè)應(yīng)該默許這種行為。“以這種方式開始提供的云服務(wù)，沒有與企業(yè)IMS整合，這就使得企業(yè)面臨策略違規(guī)、信息泄露的風(fēng)險;而且，這些企業(yè)最終沒有能力來保證云的安全性。”Axway的首席安全官說。

　　同樣，一些公司快速部署了IaaS(基礎(chǔ)設(shè)施即服務(wù))，這也是利用了自我服務(wù)能力來解決其他部門對IT部門緩慢與無應(yīng)答的投訴。但這種方式阻礙了管理，因為其允許在沒有安全保護的情況下直接登錄云服務(wù)器。

　　信息服務(wù)集團新技術(shù)調(diào)查員、云專家Stanton Jones就此解釋稱：“如此一來，員工就可以看到那些他們不具備查看權(quán)限的數(shù)據(jù)，比如說在VM(虛擬機)中的遺留問題數(shù)據(jù)。這些問題數(shù)據(jù)永遠不會被關(guān)閉。”

　　API使用方法被忽視

　　一家企業(yè)轉(zhuǎn)移到云服務(wù)，用戶需要一個API，這樣就能以自己的方式來平衡公司所提供的服務(wù)。云所帶來的內(nèi)部服務(wù)與能力，將更貼近想登錄這些服務(wù)的客戶?；贏PI的整合方案就可以滿足這些要求。

　　移動應(yīng)用開發(fā)者使用API在公司內(nèi)部與商業(yè)信息之上創(chuàng)建有價值的生態(tài)系統(tǒng)。“如果開發(fā)者將這種生態(tài)系統(tǒng)貨幣化，那帶來的收益將會打破企業(yè)的價值鏈，所以你應(yīng)該通過開發(fā)者門戶建立一個收益分支。”Thielens說。 我們已經(jīng)說過，API密鑰，也就是可以使開發(fā)者登錄API服務(wù)的密鑰，已經(jīng)可以與密碼相抗衡了。想知道如果你忘記密碼，將會發(fā)生什么嗎?CIO使用云服務(wù)API，就需要一個完善的安保計劃用以保護API密鑰。

　　不能完全脫離云服務(wù)供應(yīng)商的掌控

　　Thielens說，隨著云服務(wù)的不斷進化，出現(xiàn)了新供應(yīng)商，解決方案也推陳出新，傳統(tǒng)云服務(wù)保護網(wǎng)站，如亞馬遜、Facebook等已經(jīng)轉(zhuǎn)型：在更小范圍內(nèi)提供最優(yōu)標(biāo)準(zhǔn)與產(chǎn)品。“這對云來說是革命性的解決方案，對于預(yù)置基礎(chǔ)設(shè)施來說也是。”

　　有關(guān)云的一切還處在不斷進化中，現(xiàn)有最佳云解決方案在今后未必是最優(yōu)選擇。

　　外包風(fēng)險與責(zé)任追究

　　企業(yè)可以將部分基礎(chǔ)設(shè)施外包到云上，但是企業(yè)不能完全外包風(fēng)險與承諾義務(wù)。企業(yè)都要求云供應(yīng)商具有一定限度的透明性，這樣企業(yè)才能掌握一些風(fēng)險模式，并據(jù)此調(diào)整企業(yè)戰(zhàn)略。所有這些需求都在告訴云供應(yīng)商，自從某些云可以輕易登錄并有管理風(fēng)險以后，對企業(yè)而言，云可能就沒有那么適用了。Thielens指出：“企業(yè)不會撇開云供應(yīng)商，去接手所有風(fēng)險。”

　　信息化部署以及安全性考慮不足就直接簽署云解決方案

　　從現(xiàn)狀看，企業(yè)很容易從不同供應(yīng)商處簽約獲取云服務(wù)，從此進入云時代。而對云服務(wù)應(yīng)用范圍的大小，即使這些企業(yè)一點專業(yè)知識都不具備，也不存在任何問題。實際上，就和賺信用卡積分一樣簡單。 Prescient解決方案首席信息官、美國國家網(wǎng)絡(luò)安全特別小組成員Jerry Irvine說：“這就意味著，企業(yè)認(rèn)為可以縮短實施IT項目所需時間，并使云成為生產(chǎn)力。”

　　但是，這種做法會帶來很多新的安全及容錯率等方面的問題。在不牽涉IT的情況下實施公司解決方案，很可能出現(xiàn)現(xiàn)有系統(tǒng)、配置與應(yīng)用不兼容的情況，那些對規(guī)范與需要遵守的要求不甚了解的員工很可能就會遇到問題。

　　Irvine解釋道：“當(dāng)這些云計算應(yīng)用能夠為企業(yè)提供某些特殊需求的快速解決方案時，風(fēng)險與缺陷將使企業(yè)在系統(tǒng)失誤、安全缺口等方面耗費大量資金。”因為這些特殊原因，所有啟用的云方案都要符合企業(yè)風(fēng)險構(gòu)想、合同復(fù)審、規(guī)則審查以及內(nèi)部政策審查。

　　“很多企業(yè)已經(jīng)發(fā)現(xiàn)，盡管缺乏內(nèi)部啟用云計算的公司政策，但在企業(yè)內(nèi)部，還是可以使用很多云服務(wù)。”信息安全論壇全球副總裁Steve Durbin說。Talbot-Hubbard認(rèn)為：“如果沒有任何來自IT、采購或者法律部門的員工參與到企業(yè)轉(zhuǎn)移到云的行動中，那么企業(yè)將喪失對其相關(guān)數(shù)據(jù)、應(yīng)用、服務(wù)及基礎(chǔ)設(shè)施的控制。”

　　輕信云的安全性

　　企業(yè)一般都很關(guān)注云服務(wù)的功能，但是卻不會提問。企業(yè)認(rèn)為他們的云服務(wù)供應(yīng)商同時服務(wù)很多其他客戶，會有更強大的安全部門，更完全的安全政策、處理過程以及規(guī)程。一些云供應(yīng)商將比較高級的安全設(shè)施外包給第三方。但是，這些第三方供應(yīng)商所提供的安全服務(wù)很可能沒有包含在合同內(nèi)，而云供應(yīng)商與客戶之間有服務(wù)等級協(xié)議。

　　沒有透徹理解成本

　　當(dāng)云提供者展示其產(chǎn)品時，他們經(jīng)常選擇展示一些比較初級的產(chǎn)品來吸引那些更在意價格的潛在消費者。Irvine說：“不幸的是，在與服務(wù)供應(yīng)商交手后，企業(yè)通常認(rèn)為，那些附加服務(wù)也要執(zhí)行慣有的IT任務(wù)。”安全成本和那些相關(guān)義務(wù)也會隨之增加。企業(yè)在評估云服務(wù)成本時甚至基于一種不現(xiàn)實的空想，就好像是將應(yīng)用推上云后，他們才需要確定內(nèi)部IT資源的數(shù)量。Irvine指出，現(xiàn)在市場上有很多種云服務(wù)，內(nèi)部所需要的資源數(shù)很可能完全沒有改變。

　　事實上，我們很多使用云計算服務(wù)的客戶，并沒有減少其IT部門的人員數(shù)量。在所有情況下，企業(yè)將所有應(yīng)用和系統(tǒng)外包到云上的可能性幾乎微乎其微。即使企業(yè)將其很多系統(tǒng)轉(zhuǎn)移到云上，但還是有大量工作需要企業(yè)內(nèi)部基礎(chǔ)設(shè)施和工作站工程師去處理。“其實，IT部門成本是受到云影響最小的一個部門。”Irvine說。(朱巖)