雲端計算風險的來龍去脈

所謂風險，也就是指我們不希望發生的事件發生的機率。在資訊保安領域，風險就是一個惡意或非惡意暴露機密資訊事件、或威脅資料一致性以及干擾系統和資訊可用性事件發生的機率。任何接入網際網路的組織都處於風險之中，他們都應考慮黑暗網路的彈性特性和擴充套件私有云計算和公共雲端計算網路的能力。資料交換有合法的和非法的，而一家企業的網際網路接入就為合法的資料交換(例如電子郵件、VPN以及FTP等)以及諸如惡意軟體、資訊收集和竊聽等敵對性的資料交換提供了的資訊傳輸迴路。
 
　　敵對資料交換並不是一家組織或者甚至個人所希望進行的資料交換。通常情況下，其結果就是等待恢復的停機時間、收入損失、資料丟失、影響人力資本以及相關名譽受損。如果某個組織是一個受管制行業中的一員，那麼這個組織就有可能由於發生敵對事件的原因而受到處罰。即便企業沒有受到相關處罰，但是他們也無法承受因發生安全事件醜聞而造成客戶流失和商業合作伙伴失去信心這樣的嚴重後果。
 
　　一直以來，雲端計算所倡導的就是：我們可以做得更好，更便宜。你來關注你的核心業務問題，而我們來更具成本效益地管理你的技術並保護你的資料。雖然這有可能是真的，但是雲端計算供應商也與其他企業面臨著相同的挑戰。鑑於其特殊的業務模式，雲端計算供應商可能比一家典型企業面臨著更多的挑戰。例如，雲端計算供應商可能會迎合一個利基行業，如信用卡業。如果大家都知道這家雲端計算供應商掌握了所有客戶持有的信用卡資訊，那麼它也就會成為黑暗資訊經紀人的目標。資訊經紀人會兜售客戶身份或信用卡或者製造偽造的信用卡，而一個成功的駭客可能會從中受益。
 
　　雲端計算供應商的風險還存在於使用雲端計算服務的客戶中。無論客戶的物理、邏輯和虛擬隔離和細分的量有多少，雲端計算基礎設施都共享了共同的能源、硬體、應用程式以及網路資源。當雲端計算服務供應商提供SaaS服務時，它會信任企業使用者並讓使用者自己確保其使用者ID和密碼的安全性。與之類似，用於訪問SaaS的計算資源也必須是安全的。如果企業使用者遭到入侵，諸如使用者ID和密碼等資訊被洩露，那麼一個經驗豐富的資訊收集者就有可能會憑此訪問SaaS應用程式並確定訪問其他客戶資料的方法。頃刻之間，其它企業使用者的雲端計算環境的保密性、完整性以及可用性都岌岌可危了。
 
　　雲端計算服務SaaS軟體平臺博雲網表示，最後的風險就存在於雲端計算供應商及其技術專業的水平了。供應商們必須接受風險轉移，並理解和遵守相關規定。他們也面臨著與其他所有企業相同的挑戰，其中尤其是吸引和留住人才。當人力資本不再是雲端計算供應商成功吸引和留住人才的主要因素時，整個雲端計算環境就有可能由於一個蟻穴而崩潰。缺乏可擴充套件性、無法提供豐富的功能集或者無法提供足夠的安全性和私密性保障都會影響雲端計算供應商吸引和留住客戶的能力。
 
　　風險轉移是雲端計算的一個組成部分，因為供應商必須以合同協議的形式承諾提供一定的服務水平。該服務的一部分涉及到確保資訊資產的安全性。如果由於雲端計算供應商未能對行業最佳實踐和法規開展盡職的調查而發生相關惡性事件，那麼它就應負責通知受事件影響的相關人員並展開訴訟行動。一家雲端計算供應商必須做好準備透過稽核和認證，以確認其雲端計算基礎設施將仍然保持可用性和安全性。它還必須為響應安全事件而做好準備。即便他們的初衷是良好的，但是諸如零日漏洞攻擊這樣的事件還是會發生，並滲透到最佳安全架構中。
 
　　同樣，瞭解必要的法規也是非常重要的。出於隱私性方面的考慮，金融誠信和國家安全組織通常至少必須遵守一項規定。大多數的組織都會有多個規定需要遵守。以下，讓我們來看看一個管理信用卡資料的全國性組織的例子。這家組織必須遵守聯邦政府的要求以及那些可能比聯邦法律更為嚴格的特定地區法規。而全球性組織則還需增加一層複雜性，即他們必須遵守美國的法規以及他們開展業務的所在國家的國際性法規。雲端計算供應商們必須在理解法規以及如何遵守法規方面有大的投入，因為他們的違規也意味著企業使用者的違規，而他們有為他們的客戶和法規提供合規性保障的最終責任。