我常常通过网络深入钻研最新的技术趋势。我希望了解这些新趋势会对我们的生活产生哪些影响，以及在新趋势下我们该如何确保数据安全。在我学习新知识的同时，经常碰到一些缺乏头脑的评论和博客，大多数情况下，我只能耸耸肩掉头就走。但是今天的体验有所不同。

　　通过一系列的网站关联点击，我偶然看到了Howard Flomberg在Examiner.com网站上的博客帖子。他说，数十年来他阅读了大量与效用计算相关的内容——对于这点我毫不怀疑。效用计算并不是什么新概念，和长久以来存在于大型机上的虚拟化概念也并不相同。

　　但我确实不知道为什么，就像许多人一样，他一直将虚拟化和“云计算”混淆在一起——事实上两者并不相同。当然，虚拟化可以看作云的一部分。但是，云计算可以不包括虚拟化。同样，运行在几个虚拟服务器上也不等同于运行在云的计算基础设施上。云计算主要是通过网络提供信息和应用服务的一种简化的效用工具。虽然虚拟化是云计算的基础——他们却并不是同一个概念。

　　Flomberg和许多其他人一样，他似乎认为云计算本身就是安全的。可以肯定地说，并不是这样。在Flomberg准确地描述云计算的一些好处后，他的一些思考发人深省，“借助应用软件和多字节数据库服务器，您可以专注于产品开发。但是该如何保障安全呢？即使中央情报局极其愤怒，也无济于事——他们无法破解它。”

　　我估计他是在谈论AES加密。对数据进行加密当然是一个好主意，云计算，甚至远程存储，都是从一台电脑用户端进入的。毫无疑问，数据加密是保障安全的一个重要方面。但对“云”企业来说。这真的仅仅是个开始。以下我列出了几个“什么是安全”的问题：

　　首先，如何确保数据的隔离？如果你所在企业需要遵从大量政府和行业法规，在没有隔离的情况下，很难对文件进行加密。此外，你并不希望高价值和低价值的数据混合在一起。是吗？您想要做的就是让数据适当区隔。

　　接下来的问题是，你的数据放在哪个国家？这是需要考虑的，许多国家明文规定禁止某些保护类型的数据，以保证该国的物理安全。

　　如何才能验证你的云供应商有能力保持数据安全？或者，他们能独立审计其政策和程序？

　　云供应商员工和管理人员的技术背景如何？实际上，谁都可能有机会获得您的数据？即使是加密数据，仍然有可能可以遗失，损毁，或者失去访问权限。AES加密又是如何帮助你的？

　　你们的业务连续性和灾难恢复计划？怎样防止云数据的泄露？

　　如何将您的企业管理，身份认证和访问管理，和以“云”为基础的应用程序和数据结合起来？

　　关于云供应商使用企业应用程序代码的基本安全？我认为缓冲区溢出和数据攻击，以及所有面对的以其他应用为基础的挑战，我们仍然没有解决——这会使得“云”蒸发掉。

　　这些只是一部分安全挑战。还有一些由此引发出来的问题，是否要将云服务外包，或者是建立一个私人云。

　　如果仅仅与云计算相关就忽略IT安全问题，那就相当于说“只要把你的加密就可以高忱无忧了”，这是很天真也很危险的。类似的短视思考，相当于使得Web应用安全的倒退回2000年。从很大程度上说，这样的安全应用会让企业深陷在今天的安全泥潭中。

微信公众号

TechTarget

官方微博

TechTarget中国