雲端計算暴露資料處理缺乏和安全實踐標準缺陷

雲端計算使用者正在將他們對雲端計算的關注重點從雲優勢向雲劣勢轉移。畢竟雲的優勢是顯而易見的，比如快速擴充套件和配置的能力，但是本文探討的重點是雲端計算缺失的部分，畢竟這些不足正在呈增長態勢。

雲端計算缺乏資料處理和安全實踐的標準，甚至沒有關於廠商是否有責任告知使用者他們資料儲存地點的規定。整個行業內部只有某些組織在關注這些問題，比如雲安全聯盟等。

雲端計算行業具備西部拓荒時代新興城市的某些特點。但是雲端計算本身的概念就令人抓狂。看起來這是一個激發越來越多爭議的名詞，特別是在本週舉行的SaaScon2010大會上尤其如此。

這種對雲端計算標準缺失的失望隨著雲服務在企業領域生根發芽而逐漸蔓延。以Orbitz為例，這家涉獵多個領域的大型旅遊公司經營的服務範圍日漸廣泛，比如安排高爾夫開球時間，預定音樂會和全國巡演等。

隨著很多公司都開始轉向雲服務，Orbitz公司也成為雲服務提供商和以云為基礎的軟體即服務產品的使用者。Orbitz公司首席資訊保安官愛德華。埃利斯非常信任軟體即服務，他認為雲服務將有助於公司的發展，幫助公司將重點集中在提高核心競爭力上。

但要提供軟體即服務，Orbitz公司就必須解決涉及各個行業使用者應盡審查的需求，各個行業使用者涵蓋從現場審計到資料中心審查的各個方面。

可行的解決方案就是由雲安全聯盟正在研發的安全資料標準，雲安全聯盟計劃將資料採用通常的模板，讓使用者瞭解目前資料的安全狀態，埃利斯表示。

埃利斯認為”如果大家可以在這份標準上達成一致，就可以將應盡審查的工作量減輕三分之一”，但是埃利斯也不知道這份標準何時或者是否可以達成，因為這方面的工作將涉及大量的使用者和提供商。

在SaaScon大會的採訪和座談會上，行業標準協議的需求是顯而易見的。雲服務後面的需求就是靈活性，快速擴充套件和配置伺服器的能力，與廠商達成的合同可能中心都是圍繞靈活性展開的，別無其他，電子處方服務提供商 DoctorDispense的運營部副總裁基斯。沃爾夫解釋說。

沃爾夫提到了之前為他們提供升級服務的一名服務提供商，他的服務水平協議就規定只能使用他們的軟體和最初簽約的硬體裝置。

此類由雲提供商提供的協議都是這種由廠商實際主導的，沃爾夫表示。自那以後，他將公司的服務轉移到位於加利福尼亞州 Sacramento市的StrataScale公司，因為這家公司可以讓他使用行使實際管理權的專用硬體裝置。

比如洛杉磯市這樣的大型雲使用者與谷歌達成使用其GoogleApps 服務的協議應該就違反了其保密協議，這份協議忽略了賦予他們知情權和執行權的條款。

雲安全聯盟的創始人吉姆。瑞維斯表示，但是許多其他使用者沒有這種權利，在很多情況下，雲提供商甚至都不提供所需的登入等來證明其違反協議規定的資訊。

SecurityRiskManagement的總裁傑夫。賽普表示，雲市場必須定義自己的需求，因為目前廠商正在推動這種服務。

估計當整個行業就設定資料處理級別達成協議時，流程和安全方面的問題依然有待解決。