惊爆：云计算安全性能存在七宗罪

　　自动化、节约成本还有数据冗余――难怪云方案具有如此强大的吸引力。不少首席信息安全官(CISO)认为，使用云方案以后就可以高枕无忧了。但如果他们知道云在程序运行中出现了多少错误，或许夜不能寐。

　　近日，信息安全工作人员曝出云计算在安全方面存在七宗罪。他们认为，这七宗罪足以抵消云计算所带来的好处。

　　用户登录的检查核对机制不完善

　　安全登录云的唯一方式就是通过企业身份管理系统。很多云服务允许企业的任何人不通过企业网站注册，就可创建自己云服务的用户名与密码，并能把云服务的授权证书与其私人邮箱地址连接。这种现象时有发生，但这并不意味着IT部门或者企业应该默许这种行为。

　　“以这种方式开始提供的云服务，没有与企业IMS整合，这就使得企业面临策略违规、信息泄露的风险;而且，这些企业最终没有能力来保证云的安全性。”Axway首席安全官John Thielens表示。

　　同样，一些公司快速部署了IaaS(Infrastructure as a Service，基础设施即服务)，这也是利用了自我服务能力来解决其他部门对IT部门缓慢与无应答的投诉。但这种方式阻碍了管理，因为其允许在没有安全保护的情况下直接登录云服务器。

　　信息服务集团新技术调查员、云专家Stanton Jones就此解释道，“如此一来，员工就可以看到那些他们不具备查看权限的数据，比如说在VM(虚拟机)中的遗留问题数据。这些问题数据永远不会被关闭。”

　　俄亥俄州立大学首席信息安全官Julie Talbot Hubbard认为，为安全起见，企业内部网络模式里需要有单点登录。

　　API使用方法被忽视

　　一家企业转移到云服务，用户需要一个API(application programming interfaces，应用程序接口)，这样就能以自己的方式来平衡公司所提供的服务。云所带来的内部服务与能力，将更贴近想登录这些服务的客户。基于API的整合方案就可以满足这些要求。

　　移动应用开发者使用API在公司内部与商业信息之上创建有价值的生态系统。“如果开发者将这种生态系统货币化，那带来的收益将会打破企业的价值链，所以你应该通过开发者门户(developer portal)建立一个收益分支。”Thielens说。

　　我们已经说过，API密钥，也就是可以使开发者登陆API服务的密钥，已经可以与密码相抗衡了。想知道如果你忘记密码，将会发生什么吗?CIO使用云服务API，就需要一个完善的安保计划用以保护API密钥。

　　不能完全脱离云服务供应商的掌控

　　Thielens说，随着云服务的不断进化，出现了新供应商，解决方案也推陈出新，传统云服务保护网站，如亚马逊、Facebook等已经转型：在更小范围内提供最优标准与产品。

　　“这对云来说是革命性的解决方案，对于预置基础设施来说也是。”

　　有关云的一切，还处在不断进化中，现有最佳云解决方案在今后未必是最优选择。类似TOSCA与CAMP这些新标准(两项标准均来自于OASIS，OASIS是一家结构化信息标准促进组织)提供了工具：企业就可以转移到云上，也可以不将其云架构绑定在特定的云服务商身上了。