一、云计算安全威胁和出现过的事故

可靠性、性能以及其他技术问题将带来云计算的相关风险。
云计算在安全性和风险管理方面仍有不足:即便是最出色的云服务供应商也会遭遇服务中断或速度变慢的问题,比如:
  1. 2009年 2月24日,谷歌的Gmail电子邮箱爆发全球性故障,服务中断时间长达4小时。谷歌解释事故的原因:在位于欧洲的数据中心例行性维护之时,有些新的程序代码(会试图把地理相近的数据集中于所有人身上)有些副作用,导致欧洲另一个资料中心过载,于是连锁效应就扩及到其它数据中心接口,最终酿成全球性的断线,导致其他数据中心也无法正常工作。
  2. 2009年 3月17日,微软的云计算平台Azure停止运行约22个小时。微软没有给出详细的故障原因,但有业内人士分析, Azure平台的这次宕机与其中心处理和存储设备故障有关。Azure平台的宕机可能引发微软客户对该云计算机服务平台的安全担忧,也暴露了云计算的一个巨大隐患。不过,当时的Azure尚处于“预测试”阶段,所以出现一些类似问题也是可接受。提前暴露的安全问题,似乎也给微软的Azure团队敲了一次警钟,在云计算平台上,安全是客户最看重的环节。
  3. 2009年 6月,Rackspace遭受了严重的云服务中断故障。供电设备跳闸,备份发电机失效,不少机架上服务器停机。这场事故造成了严重的后果。
  4. 2010年1月,几乎6万8千名的Salesforce.com用户经历了至少1个小时的宕机。
  5. 2011年4月 21日凌晨,亚马逊公司在北弗吉尼亚州的云计算中心宕机,这导致包括回答服务Quora、新闻服务Reddit、Hootsuite和位置跟踪服务FourSquare在内的一些网站受到了影响;
  以上安全事故使得人们进一步思考,公有云面临的安全问题。尽管公共云拥有众所周知的成本优势,但是用户不得不提防其存在的安全性、法规遵从和服务质量的隐患。既然数据由第三方托管,客户就希望服务提供商保证数据安全,既不丢失也不被非法访问,遵从法规对存储系统和数据保存位置的要求,并通过网络提供低延迟、高可用的服务。
  对于企业来说,要想把财务系统等关键性业务系统迁移到云计算平台上,就需要云计算供应商提供的服务与具有成熟 IT基础设施的大型企业所提供的正常运行时间和性能相匹敌,并且在企业和云计算供应商之间签订更高级别的SLA(服务等级协议)以支持其服务。
 
二、因为安全风险,企业要放弃云计算吗?
  如果仅仅从这些云服务宕机事件,就得出结论:云计算一无是处,不该被推广。 这似乎有些太过于武断。安全事件,并不仅仅是云计算的专利,任何 IT系统都将承受来自安全方面的压力,不管是来自于天灾,还是人祸。
  一系列的云计算安全事故,是否已经打破了云计算用户的心理底线,让他们放弃了云计算服务呢?答案是没有。
  即使出现了严重的宕机事件,国外一些用户仍然热衷于使用例如亚马逊等公司的公有云服务,他们对于类似亚马逊宕机事件看得很淡,他们认为这样的事件就如同飞机坠毁一样的偶然,相对于开汽车旅游还是飞机旅游安全系数更高。
相对于高速发展的企业对于 IT系统的需求成本,有些企业更加愿意尝试创新的IT技术和服务,以换来企业更快速的发展,即使出现数据丢失和泄露,他们也已经做好了应对策略或甘愿承受这种风险。如此看来,尽管云计算服务目前仍然存在诸多不确定因素(天灾、人祸的影响),但是仍然不可否认它的革命性和创新性,它满足了一部分“轻”公司的发展需求。随着其迈过“安全”这最后一道关,必将迎来大规模发展。
 
三、云计算风险问题和安全优势举例
  企业高管们一直关注着云计算可能存在的风险,但是,该技术同样会带来潜在的安全优势。
(一)   云计算的安全风险:
1. 管理力度减弱:对影响云计算提供商的安全性的因素缺乏控制
2. 锁定:缺乏保障可移动性的工具、程序、数据格式或界面。
3. 隔离失败:缺乏有效隔离同一云中不同企业的数据的机制
4. 合规风险:供应商无法证明合规或批准审计
5. 管理界面缺陷:无法利用浏览器和远程访问接入受保护数据
6. 数据保护:供应商处理数据的方法不安全或不合法
7. 不安全或不完全的数据删除:数据未能按照要求完全删除
8. 恶意内部人士:因恶意云系统管理员和安全供应商造成的损失
 
(二)   云计算的安全优势:
1. 规模:高级安全措施的成本随规模增大而降低,支持云供应商加大对安全性的投入
2. 市场分化:安全问题促使供应商改进安全实践
3. 标准化界面:大型云供应商能够为托管安全服务供应商提供开放的标准化界面
4. 应变能力:云重新分配资源进行认证、加密等的能力
5. 审计和证据收集:云能够轻松分析可能的违规行为并生成日志
6. 更新:可迅速执行或及时调整补丁、更新和安全设置
7. 资源集中:对一个大型中心的访问控制比对多个小型中心的访问控制成本更低且更容易