加强云计算安全

核心提示： 要研究的另一个方面是数据私密性，美国的一些州对于数据私密性有特殊的要求，加强云计算安全(3)，如果组织在欧洲开展业务，还要考虑数据存储方式是否会违反 EU Data Protection Standards，不知道只允许发送某些类型的数据，一定要考虑和采取适当的措施来保护组织的数据，请记住，在把

要研究的另一个方面是数据私密性。美国的一些州对于数据私密性有特殊的要求。如果组织在欧洲开展业务，还要考虑数据存储方式是否会违反 EU Data Protection Standards。请记住，在把数据发送到云时，存储数据的服务器可能位于任何地方。跨国界传输数据可能会违反私密性法律。

最后，应该确保虚拟机 (VM) 技术和配置的安全性。如果要把 PII 或 PCI 数据发送到云，就必须确保没有得到授权的人无法访问数据。如果不愿意与别人共享服务器，应该考虑要求组织在云中有自己的服务器。在这种情况下，组织中的用户仍然可以使用云，如果 VM 被攻破了，至少可以确定是组织内部人员干的。

一些组织不把数据放在公共的云中，而是创建私有的云。这让他们可以享有云的一些好处，同时保持对上述安全问题的控制能力。

这些安全性和遵从性问题促成了 Cloud Security Alliance (www.cloudsecurityalliance.org) 的建立，这个联盟的目标是定义和推广用于保护云计算的最佳实践。还有另一个组织 Open Cloud Manifesto (http://opencloudmanifesto.org)，IBM 是它的支持者，这个组织的目标也是确保云的安全性以满足组织的需要。

云在安全性方面的优点

云计算从安全性角度来看也并不是完全没有优点。许多小型公司无力负担安全特性，但是云提供商可以。例如，大多数中小型组织不具有实现安全运营中心 (SOC) 所需的资源。SOC 可以汇聚组织中各个地方的事件和信息，执行实时分析，对外部威胁发出警报和/或执行防御措施。云提供商可能有 SOC，这有助于防御和响应安全攻击。通常还有专职的安全专家监督他们的运营。由于有这些专用的资源，他们能够更及时地应对最新的威胁，应用最新的安全补丁。

不要害怕云

我并不是在说云计算不安全，不应该使用它。根本不是这样的。我曾经使用 Google 电子表格保存一个项目的任务清单，此项目有英国的业务伙伴。这种做法比我们使用过的任何方法都高效得多。但是，这个电子表格不包含任何机密数据。如果存储它的服务器被攻破了或不可用，并不会违反组织的安全策略或任何法律法规。

我希望您考虑组织管理的数据的类型，更新安全策略中的数据分类部分，为数据是否可以发送到云制定规则。然后，在组织中进行相应的教育。与许多很酷的新技术一样，职员们可能很喜欢享有云计算的好处，而不知道把某些数据发送到云是不合适的，不知道只允许发送某些类型的数据。

一定要考虑和采取适当的措施来保护组织的数据，但是不必害怕云。