(5)加密
加密是保护数据隐私的手段,如今的加密技术相当成熟。加密是通过基于密钥的算法完成的,密钥由云计算提供商存储,一些与业务相关的应用程序(如Salesforce和Dynamix)使用标记化技术而不是密钥。这涉及将特定令牌字段替换为匿名数据令牌。
实际上,每个云计算存储提供商在传输数据时都会对其进行加密。大多数是通过浏览器界面来实现的,尽管有一些云计算存储提供商(如Mega和SpiderOak)使用专用客户端来执行加密。这一切都应该在服务水平协议(SLA)中详细说明。
许多云计算服务提供密钥管理解决方案,允许用户控制访问,因为加密密钥在其手中。这可能被证明是更好或至少更令人放心的措施,因为用户可以控制谁拥有密钥。同样,这应该在服务水平协议(SLA)中详细说明。
(6)攻击威胁
人们上网很容易受到攻击威胁,例如DDoS攻击、SQL注入和跨站点脚本让人陷入恐惧之中。云计算服务提供商已经制定了各种安全工具和策略,但问题仍然存在,通常源于人为错误。
·数据泄露:这可以通过多种方式发生,从通常的方式——黑客账户或丢失密码/笔记本电脑,再到云计算独有的方式。例如,一个虚拟机上的用户可以监听加密密钥已到达同一主机上的另一个虚拟机上的信号,这意味着受害者的安全证书掌握在其他人手中。
·数据丢失:尽管数据丢失的可能性很小,但有可能被他人登录并删除所有内容。用户可以通过确保应用程序和数据分布在多个区域,并使用非现场存储备份数据来缓解这种情况。
·被劫持的账户:如果有人丢失笔记本电脑,就有可能让他人进入其云计算提供商的平台。而采用严格安全的密码和双因素身份验证可以防止这种情况。它还有助于制定策略来查找异常活动并对其发出警报,例如复制大量数据或删除数据。
·密码窃取:密码窃取是一种秘密地接管计算机以种植加密货币的行为,这是一个计算非常密集的过程。密码劫持在2017年和2018年激增,云平台是一个受欢迎的目标,因为有更多的计算资源可用。监控异常的计算活动是停止这种情况的关键方法。
(7)数据安全和员工
大多数与员工相关的事件并不是恶意的。根据波洛蒙研究所的2016年威胁成本的调查研究,2016年874起内部安全相关事件中有598起是由粗心的员工或承包商造成的。
然而,调查还发现85起因冒名顶替者窃取证件而发生的事件,191起是恶意员工和罪犯造成的。换句话说,企业最大的威胁就在公司内部,企业的管理者应该对员工有着足够的了解。
(8)合同的数据安全
服务水平协议(SLA)应包括对要提供的服务及其预期服务和可靠性水平的描述,以及衡量服务的指标的定义,各方的义务和责任,补救措施或未能满足的处罚这些指标,以及如何添加或删除指标的规则。
企业不要只是简单地签署服务水平协议,而是需要仔细阅读,其中包括聘用的公司律师。云计算服务提供商并不会为客户承担不必要的责任。此外,服务水平协议(SLA)需要有多个复选标记。
·提供的服务细节,例如正常运行时间和故障响应。
·测量标准和方法、报告流程和解决流程的定义。
·保护客户免受因服务级别违规而导致的第三方诉讼的赔偿条款。
最后一点至关重要,因为这意味着云计算服务提供商同意为客户的任何违规行为进行赔偿,因此服务提供商对因违规而导致的任何第三方诉讼费用负有责任。这为云计算提供商提供了一个实现安全交易的主要动机。