Gartner认为云安全深度剖析能满足相关标准

2023-11-18 理论教育版权反馈

【摘要】：成立于1979年的Gartner是全球最具权威的IT研究与顾问咨询公司。Gartner在2008年6月发布《云计算安全风险评估》报告。Gartner认为，那些拒绝提供这种审查机制的云计算服务提供商“表明用户只能利用它们完成最不起眼的琐碎功能”。因此，Gartner建议用户询问服务提供商是否具有保存和处理数据的某些权限，以及他们是否会站在保护用户个人隐私的角度与用户签订隐私保护协议。Gartner表示：“了解提供商是如何将不同用户的数据分离开来的”。

成立于1979年的Gartner是全球最具权威的IT研究与顾问咨询公司。其研究范围覆盖全部IT行业，就IT的研究、发展、评估、应用和市场等领域，为客户提供客观、公正的论证报告及市场调研报告，协助客户进行市场分析、技术选择、项目论证和投资决策。为决策者在投资风险和管理、营销策略、发展方向等重大问题上提供重要咨询建议，帮助决策者做出正确抉择。

Gartner在2008年6月发布《云计算安全风险评估》报告。该报告称云计算存在许多安全风险，智慧的用户会在选择云服务提供商之前做全面的咨询并且考虑通过第三方来进行安全性评估。

以下是Gartner认为用户在选择云服务提供商之前应该向提供商方面提出的几个安全问题：

（1）用户访问权限来自于企业外部的服务会带来一定程度上的内在风险，因为外来的服务绕过了IT部门对内部程序实施的“物理、逻辑以及人员控制”。因此，用户应该尽可能了解是谁来管理自己的数据。Gartner表示：“你应该要求提供商提供有关特权管理人员的录用以及对他们权限的控制等信息”。

（2）法规遵从用户要对自己数据的安全性和完整性负责，即使这些数据是由服务提供商保存的。传统服务提供商负责外部审查以及安全认证。Gartner认为，那些拒绝提供这种审查机制的云计算服务提供商“表明用户只能利用它们完成最不起眼的琐碎功能”。

（3）数据保存位置当采用云时，用户并一定知道自己的数据到底是托管在哪里的，甚至不知道自己的数据被保存在哪个国家。因此，Gartner建议用户询问服务提供商是否具有保存和处理数据的某些权限，以及他们是否会站在保护用户个人隐私的角度与用户签订隐私保护协议。(www.chuimin.cn)

（4）数据分离云中的数据往往是与其他用户的数据一起保存在一个共享环境中的。加密虽然是一种有效的方法，但并非万全之策。Gartner表示：“了解提供商是如何将不同用户的数据分离开来的”。云计算服务提供商应该向用户证明，他们的加密策略是经过经验专家设计和测试的。同时，Gartner表示：“加密可能会导致数据完全无法读取，甚至普通的加密方法都可能让可用性问题变得很复杂”。

（5）恢复即使不知道数据被保存在哪里，云服务提供商也应该告诉用户在发生灾难的情况下数据和服务的情况。Gartner表示：“任何不能在多节点间复制数据和应用架构的服务产品都可能遭受最严重的灾难”。因此，Gartner建议用户向服务提供商询问他们是否“有能力做完全恢复，这个过程需要花费多长时间”。

（6）调研支持对云计算可能发生的不适当或者违法的行为进行调查研究是不太可能的。Gartner表示：“用户很难调查云服务，因为多租户的日志文件和数据可能同时保存在一起，并且可能散落于不断变化的主机和数据中心内。如果你不能获得支持某种形式调研的协议保证，或者该提供商曾经成功支持这种调研行为的证明，那么你唯一的安全设想就是，调研和请求调研是不可能的”。

（7）长期可用性从理想角度来讲，云服务提供商永远不可能破产或者被其他厂商收购。但是服务商必须确保如果发生这些情况的时候，用户数据仍然是可用的。Gartner表示：“向提供商询问你如何收回数据”。

Gartner认为云安全深度剖析能满足相关标准

相关推荐