那些奇怪的电子邮件可能还不是引起安全专家头疼的原因,但是因为云计算和SaaS(软件即服务)可以以低廉的价格提供一些正常的商业应用和大量的数据储存,危险伴随滥用云应用而来。
同时,越来越多的人开始对商务云应用软件(cloud apps)感兴趣,因此,CIO需要与供应商和企业内部部门合作来降低风险。
CIO们对安全性的顾虑分为两个部分。首先,如何保护数据?存在于客户和应用主机数据间的“飞行模式”通常由HTTPS或其他安保渠道同时进行保护,这些基本是由供应商提供的。然而,使用中的数据也是要被列入考虑范围之内的,但是,使用加密术却是不寻常的。与此同时,供应商不得不在数据的安全处理上制定流程。
第二个安全顾虑是进入数据。当员工从不同供应商处使用多个程序的时候,经常会使用一样的密码。难以置信的是,他们还会把这些密码写下来,贴在桌子上以便提醒自己。管理这些可用性,在多个程序中进行安全单点登录才是真正的挑战。
幸运的是,现在已经出版了一些通过安全问题的云能帮助CIO自测的单子。
以下这个单子来自Forrester,建议按以下几个领域进行不同的安全保护:
数据保护
漏洞管理
身份认证管理
物理和员工管理
可利用率
应用安全
反应发生率
隐私
这个单子列出了一系列IT领导们调查供应商时所要考虑的问题,比如说:“你会对所有相关人员进行后台检查么?这些检查的规模有多大?”这个单子同时也可以被看作是供应商需要遵守的技术标准。
虽然云扩大了IT安全问题,但是其实内部IT已经被自身的问题严重困扰。病毒、黑客和落后的数据管理这些情况,实际上比他们承认的更多发。