■

云中的安全危害

攻击者的目标不云本身，云仅仅它们是攻击企业的访问点。如果企业盲目地相信云供应商而不是相信自己的分析和判断，迟早会给企业带来灾难。但现实是：大部分企业的IT专家很相信云供应商提供安全环境的能力，仅有少量的IT用户会重视审查云供应商的安全策略、安全过程和能力。这实在不是什么好做法。

云安全风险是什么呢？云安全联盟（CSA）在其云计算的安全报告中定义了云计算的风险。虽然其中包含了很多重要的风险，如数据丢失、账户或服务通信被劫持、拒绝服务，等等，但首要风险却是数据泄露。

为什么云会吸引攻击者？因为攻击者可以轻易地渗透进入多个目标。在云安全联盟的一份研究论文中，研究者设计了一种虚拟机，如果它与另一个独立的虚拟机都位于同一个硬件系统上，就可以提取存储在独立虚拟机上的私钥。如果多用户的云服务数据库的设计有缺陷，一个客户应用中的漏洞不但可以使攻击者获得此客户的数据，还可以使其获取其它客户的数据。

保护云中数据安全的方法

企业要保护云中的数据，需要分三步走：

检验云供应商的安全协议

企业只应当使用积极重视其云安全的供应商。合格的云供应商应当不断地检查其平台中的缺陷和漏洞。

企业最好得到云供应商的架构和系统已经得到安全审计的证据材料，企业要明确云供应商的系统满足合规要求，即使企业未必需要满足这些规范要求也要这样做。企业要根据自己的行业和法律要求，审查一下云供应商是否满足PCI DSS、ISO 27001等规范要求。

不盲目相信供应商，确保严格加密

企业必须记住，不管云供应商的安全协议是什么，拥有数据的企业必须为其云安全负责。企业必须确保加密自己的数据，并且使用行业最严格的标准来加密。企业必须使用分割加密密钥来确保只有企业可以访问自己的数据。通过使用分割加密密钥，即使攻击者攻击进入了系统，也无法读取数据。

企业还可以通过加密自己的加密密钥来提升安全水平。由此，即使企业在云中使用密钥，攻击者也无法获取和攻击。

经常测试

企业应经常运行漏洞扫描，进行全面的渗透测试。企业也可以聘请公司来执行测试。无论是公司的内部测试还是请外部人员的测试，都要求测试者“像黑客一样思考”，以攻击者的思维和手段来实施测试。通过测试而查缺补漏，采取相关修复措施后，企业可以保证攻击者无法访问企业的数据记录，或者即使攻击者访问了企业的数据，由于有了健全的加密，攻击者也无法真正窃取数据。“云”中有风险，“入云”须谨慎。不盲目相信云供应商的说辞，而是以怀疑的态度对供应商的安全性进行检查，对云中的数据进行加密，并经常进行测试，将使企业的云端之路更平稳和安全。