史蒂夫·德宾在最近举行的信息安全研讨会上,进行了主题演讲,并对其进行了详细的说明。他指出:“对于公司来说,选择迁移到云服务中并不意味着以后就万事大吉,可以当甩手掌柜了。在部署完成后,公司忘记进行各方面的监控、联络和审核工作,就等同于放弃了已经获得的优势”。
他进一步补充说,审计过程也是保证外部供应商对数据进行安全管理的有效监督。并且,德宾警告说,将IT服务外包给云服务供应商并“不能免除公司在法律方面的要求和法定义务”。即便公司不需要对信息丢失或泄露负责,也依然可能需要承担相应的法律责任。他强调到,这就是为什么公司需要知道“是谁在提供服务”的原因。
德宾继续指出,到目前为止,还没有几家公司针对云服务供应商的背景和业务纪录进行过更多的了解工作。由于在交易完成后,公司没有将“商定安全控制清单”加入到合同中,这就导致了关于数据使用和存储情况的应执行条款没有被包含在内,从而使问题变得更加复杂。举例来说,在合作关系结束后,由于合同中没有包含服务供应商必须返还以前所有数据的义务,对于公司来讲就不得不选择放弃多年以来积累下来的客户数据。
因此,德宾指出为避免这种结果的出现,对企业来说,就意味着必须要考虑到“如果合同到期,会发生什么事情”的问题。从概念上来看,这非常类似婚前协议的范畴。
云中面临的安全挑战
合作主题演讲者理查德·盛则强调:对于企业来说,除了对云部署情况进行跟踪和评估外,还要紧跟企业级IT环境的发展趋势,及时选择必要的安全措施。
趋势科技负责产品营销和业务发展的区域董事宣称,由于公司选择将数据从内部预制式数据中心迁移到外部虚拟服务器上,这让云供应商拥有了更大的控制权限,从而可能导致公司在数据安全方面面临更大的威胁。
理查德·盛指出:“这就是为什么对于那些希望将业务迁移到云模式中的公司来说,数据安全和保护才是要面临的最大挑战的原因”。为了应对这一挑战,这位高管建议公司选择对云中的数据进行加密处理,并且采用“无代理”模式为所有的虚拟机(VM)提供统一的安全保护。