云安全：你相信他们说相信我们吗？

每天越来越多的头条是关于社交网络（social networking），云计算和软件即服务（SaaS）。这些快速增长的领域有一个共同元素-他们都依靠文件从私人电脑移动到云。理论上认为这些文件由服务提供商保护，而这些提供商是该领域的专家。但是几乎没有这种领域文件安全的事例，其中有些重要的隐含问题应该被考虑到。

Security Reseaches号召 Google 和其他公司用SSL来保护所有与他们的服务交互的行为。我同意这是大家需要做的基本底线，但是我认为要做的远远不止这些！许多云计算供应商并不重视相对的安全责任，在合约里仅仅用密密麻麻的小字体标出来，比如Amazon EC2 证书条款 。在很多情况下，供应商不愿详述他们是怎样保护顾客文件，仅仅是说"相信我们"-比方说，Salesforce.com, 然后用一大堆流行用语来描述他们的安全性，但却拿不出任何一个公司可以用来审核的实证。国外知名媒体网站《网络世界》（Network World）这样辩解道，"……在由一个服务商提供的云面获得PCI是困难的，甚至是不可能的。"在社交网络界，这场关于谁拥有上传的文件的争论甚嚣尘上。

厂商如何让大众相信私人文件在云是安全的呢？在向大众喊出"相信我们"时，建议在安全性考量能做到以下两点：

1. 云计算供应商需要开始在安全上而不仅仅在价格上竞争。目前的云计算是关于怎样花最少钱获得最大受益–你花的钱能得到多大容量，多大频宽，多少中央处理器周期。但是由于市场的发展，越来越激烈的竞争使得利润趋向于零，供应商们将关注增值服务来使自己的产品与众不同。安全就是其中一个关键业务-我们期待能看到可由消费者检验的契约承诺，惩罚条款和明细的安全模组。

2. IT业界需要找到一种方法可以让顾客能够自己保护自己的文件，同时也能利用一切云计算提供的优势。如果文件对其拥有者最为宝贵，那么我们就赋予这些拥有者（包括个人和公司）能力去保护自己的文件，与此同时仍然可以获得云计算提供的好处。希望看到一波新产品被设计出来扩展我们都期待的保护（包括家庭电脑和企业内部机器）到云的电脑上。期待能看到云计算供应商开放API介面来允许第三方填补缺失的元素并推动更多的顾客来使用他们的服务。（

未经允许不得转载：DOIT » 云安全：你相信他们说相信我们吗？