使用商業雲應用的常見風險

中測安華編譯

編譯：艾蘭天編審：陳世武

編者註：

作者Sandy Shrum 與 Paul Murray發表題為：Common Risks of Using BusinessApps in the Cloud的文章，探討了使用商業雲應用的常見風險，文章原載US-CERT網站，中測安華綜合其他資源對其進行了編譯，希望能為您提供借鑒。

1

很多企業正在使用雲應用

什麼是雲？一般來說，雲是遠程託管的IT服務，稱為雲應用程序，由供應商提供。這些供應商被稱為雲服務供應商。雲供應商提供的典型雲應用包括電子郵件、日曆、文檔、在線存儲、銷售和客戶服務等。當今許多雲供應商都是業界知名的公司，包括亞馬遜、谷歌、37 signals、Intuit、微軟和Box等。目前市場上的頂級雲應用包括Cloud Drive、Google Apps for Business、Skype、SalesForce、Basecamp、Quickbase和Box Business。

在雲中使用商業應用擁有以下優勢：首先，企業只為需要的那部分IT資源付費，而不是整個雲平台；其次，無需人力投資即可快速增加（或減少）計算資源；最後，在雲應用的幫助下企業可以將員工和客戶的網路擴大至全球範圍內。

本文將闡釋兩個觀點：一是企業與雲供應商合作時應該了解和注意的風險，二是可以減輕這些風險的一些應對措施。

2

使用雲的常見風險

（1）企業對於應用沒有完全的控制權。

當租戶從雲供應商購買IT服務時，租戶無法完全控制其業務所需要的計算資源。如果雲供應商停業，更改其服務內容或價格將會發生什麼？如果發生中斷，該怎麼辦？2012年12月，Netflix及其許多客戶平均經歷了兩天的停電時間--平安夜和聖誕節--因為他們的雲供應商亞馬遜中斷了對美國東部的服務。

在彭博商業周刊的文章「雲存在風險」中，Verne Kopytoff寫道：「由學術界和技術行業代表組成的雲計算彈性國際工作組最近的一項研究在嘗試量化停電成本。據估計，自2007年以來，13家主要雲服務提供商的總共停機時間為568小時，對客戶至少造成7,170萬美元的經濟損失。」

（2）租戶可能會和供應商糾纏不清。

所有雲提供商都是不一樣的。他們的平台因硬體、軟體、配置和設置不同而不同。因此，即使租戶使用相同的應用程序，從一個供應商到另一個供應商的遷移可能也很困難。租戶可能會卡在一個供應商那，就像租戶在內部部署應用程序時一樣。電子郵件是個很好的例子。無論是在雲端還是在內部，電子郵件從一個供應商遷移到另一個供應商可能會遇到郵件格式和定製轉換問題。一個應用程序，尤其是自定義的應用程序，在另一個雲上會出現異常甚至無法正常工作。如果租戶開始與雲供應商方發生矛盾，對供應商不滿意，更換供應商將會是一個漫長的過程。在整個雲供應商行業實現更好的標準化之前，從一個供應商切換到另一個供應商都將是一項複雜的工作。

（3）租戶的數據受其他人的保護。

使用雲供應商時，租戶的數據通常由雲供應商保管和保護。儘管供應商可能有能力購買最新的安全軟體和安全支持，但它並沒有像租戶一樣有保護數據的動機。誠然，他們的業務依賴於他們保護數據的能力，但他們是否會像租戶經營自己的企業一樣經營他們的業務？

數據面臨的風險不僅僅只停留在數據被破壞的範圍。由於某些政府行為，可能會發生商業秘密丟失或者數據凍結等情況。當惡意程序獲取訪問數據所需的加密密鑰時，商業機密可能會被盜用。一般來說，雲供應商宣稱它提供了加密和加密備份服務來保護租戶的雲數據。從表面上看，這很讓人安心，但這些服務可能不足以滿足每個企業的需求。許多供應商使用它們擁有的通用加密密鑰來存儲和備份客戶數據，這意味著黑客只能滲透雲提供商才能訪問數據。

舉一個因政府行為而導致凍結數據的一個例子--Megaupload，一種雲文件存儲和查看服務。有一項對Megaupload個人的指控導致執法機構扣押超過5000萬美元的Megaupload資產。這意味著使用Megaupload伺服器的客戶即使沒有做錯任何事，也無法訪問數據。

更複雜的是，租戶的雲提供商可能位於離租戶的企業很遠的地方。它可能位於跨州跨地區或者其他（和多個）國家。這些數據中心的位置對於這個雲供應商具有法律影響。如果租戶的數據涉及刑事案件，那麼數據中心所在的國家和州的法律將決定政府可以控制的內容。即使租戶沒有錯，租戶的業務數據也可能被扣押凍結。此外，許多國家在加密方面有都比美國更嚴格的法律。如果使用某種特定的加密技術對數據進行加密，那麼這個國家可能不允許這些數據進入或離開該國。因此，國際上可用數據的性能優勢可能需要權衡較弱的加密方式，以避免違反數據中心所在國家/地區的法律所導致的數據攔截。

（4）信息安全交由他人管理。

與典型的企業數據中心相比，雲供應商通過設計運算量非常龐大的數據整合器和信息聚合器。一般來說，雲提供商的平台比租戶自己的平台更安全，或者至少與租戶的平台一樣好，因為它們比大多數（尤其是小型）組織更加致力於將安全領域做到最好。

然而，由於雲提供商將多個客戶的數據放在同一台伺服器上，並且他們管理的數據量遠遠大於大型組織，因此它們有可能成為網路犯罪分子更理想的目標。那麼即使我們今天在雲中沒有看到大規模的攻擊，但是歷史上我們可以看到有大公司的大型安全資源受到攻擊。這些大型企業了解他們的業務需求，並調整到他們自己的商業模式來應對。反觀雲供應商，他們則很難為了客戶的不同的業務模式和需求來改變他的安全性能。

（5）租戶必須爭取一些相關的信息。

有這麼一個問題，一些最大的雲提供商不允許他們的租戶對數據中心進行檢查。一些雲供應商會向其客戶提供審計結果，如第三方SAS 70 I型和II型審計（或SSAE 16）以及其他各種審計結果。但是，並非所有的審計都是等效的。

3

緩解這些使用商業雲的風險

（1）知道發生了什麼。

確定所有的企業員工都在監控範圍內。檢查他們是否違規或者有越權行為。例如，企業的項目團隊可能會認為他們可以通過雲供應商來快速開展新工具的驗證。另一個例子，比如營銷部門決定從雲提供商處購買CRM服務，而不是等待幾個月再購買本土服務。員工們可以通過使用信用卡或免費試用輕鬆享受這些服務，而不會意識到他們帶來了怎樣的風險。

（2）做個聰明的消費者。

選擇願意達成協議的供應商，從而使租戶能夠有效地合作更好的經營業務。尤其要確保雲供應商的安全性能能夠充分滿足租戶的業務需求。租戶可能有機會與雲供應商協商服務級別協議（SLA），但更有可能需要比較不同供應商的SLA，然後找到最適合租戶需要的哪一個。

幾乎所有雲供應商的SLA都附有賠償條款，試圖消除或減輕由於雲供應商服務問題導致的用戶業務上的損失的風險。即使這些條款限制了風險和責任，盡量去談判這些條款以達到租戶的最佳利益。如果租戶的工作人員沒有合同律師，那麼在與雲提供商簽約之前是一個找合同律師合適的時機。租戶可能無法獲得重大的好處，但了解每個雲供應商的條款和風險有助於做出明智的決策。

盡量協商合同條款以確定租戶對計算資源的要求，包括安全性，數據處理和災難恢復。特別注意安全違規的通知，數據轉移，衍生作品創建，許可權變更以及執法機構獲取數據相關的權利和義務。此外，需確保租戶了解數據的實際位置以及與這些位置相關的法律，包括可能的對這些數據有所有權的人。

（3）讓合適的人參與雲決策。

租戶必須具備供應商選擇，監控和管理這幾項對租戶的業務至關重要的供應商管理技能。尋找組織中了解供應鏈管理的專家。讓業務負責人和IT專業人員參與決定雲供應商的選擇。作為對於目標雲供應商的業務調查，租戶必須閱讀現有的審計同時也要評估審計員的聲望。

（4）保持警惕。

逐步建立起與雲供應商的相互信任。首先使用雲服務供應商提供的非關鍵業務的相關服務，然後評估滿足需求並避免問題的能力。通過逐漸擴展租戶在雲上使用的內容，逐步建立相互的信任關係。通過這種增量方法來獲得時間和機會來學習並且調整業務關係。

有選擇的保留一些東西在己方可控範圍內而不是全部都交給雲供應商。至少把業務的關鍵型應用程序保留在雲端之外。如果租戶可以保持對應用程序數據的控制權，則維護該控制項。比較在系統上保留應用和數據和將其轉移到雲端的風險和收益。這兩種選擇都有各自的風險請仔細考慮再做決定。選擇那些針對每個客戶都有唯一加密密鑰機制的供應商。此機制旨在降低租戶的數據未經授權被訪問的風險。這些密鑰可以由租戶控制或安全託管以確保可恢復性，而不是由雲提供商控制。

（5）對雲供應商的活動保持關注。

找到讓雲供應商會遵守SLA的條款的方法。隨時了解雲供應商使用的安全控制措施及其跟蹤網路犯罪趨勢的能力。此外，還需要租戶在雲上監控業務相關的信息。如果伺服器在租戶的組織內租戶應該可以擁有訪問相同的信息的許可權。在SLA中包含相關條款，以確保租戶有權在不受抵觸的情況下解除到租戶需要的信息，這些條款儘可能具體以保護租戶對關鍵信息的訪問。

（6）做好雲供應中斷的防備工作。

所有雲供應商的服務都有可能中斷。亞馬遜、Salesforce和微軟僅是去年出現故障的三家雲提供商。向雲供應商諮詢其災難恢復計劃，並制定適用於自己的包含雲應用的災難恢復計劃。

研究一種混合方法，在該方法中租戶擁有可與公共雲一起使用的私有雲。租戶的企業的私有雲或者付費雲管理伺服器來管理租戶的私有雲以根據切實需要來擴展到公共雲。此外，還要考慮實施可以跨兩個或多個雲平台的雲伺服器。InfoWorld的Doug Dinely寫道：「VMware、微軟和開源競爭對手OpenStack和CloudStack正在構建專為私有和公共雲應用設計的一系列雲軟體，為管理員提供通用管理工具，並為不同環境中的開發人員提供通用API。同樣，Eucalyptus建立了與亞馬遜Web服務API兼容的私有雲業務，允許在AWS上構建應用程序的客戶將其部署到內部，反之亦然。」這些解決方案還是存在從一個供應商到另一個供應商的隔閡，但確實能成為一個減輕雲服務中斷的風險解決方案。

4

總結

租戶可以將雲應用程序用於租戶的企業業務，但在此之前請務必對相關的風險以及它們可能如何影響租戶的特定業務有個充分的了解。還要了解租戶的員工在如何使用雲，成為雲服務的明智消費者，讓他們擁有掌握雲技術決策的正確技能，使用漸進式方法慢慢建立信任，監控雲提供商的活動，並制定雲服務中斷的防備計劃。這些活動將幫助租戶從雲服務靈活性和成本節約中受益，同時保護租戶的業務。

相關文獻

1. Babcock, Charles. 「6 Reasons to Use Multiple Cloud Providers,」 InformationWeek, March 2012.

http://www.informationweek.com/cloud-computing/infrastructure/6-reasons-to-usemultiple-cloud-provider/232800011(accessed January 22, 2013).

2. Burns, Christine. 「10 Cloud Predictions for 2013」 ComputerWorldUK, December 2012.

http://www.computerworlduk.com/slideshow/cloud-computing/3414733/10-cloudpredictions-for-2013/ (accessed January 22, 2013).

3. CyberMedia Research. 「The Cloud and the Law: An Interpretation of Key Contract Clauses for Late Adopters Like the Healthcare Sector.」 June 2011. Available:

http://cmrindia.com/the-cloud-and-the-law-an-interpretation-of-key-contract-clauses-for-lateadopters-like-the-healthcare-sector/ (accessed January 16, 2013).

4. Dineley, Doug. 「Hybrid Cloud: Extend Your Private Cloud with Public Cloud Services.」 InfoWorld, April 17, 2012.http://www.infoworld.com/t/cloud-computing/hybrid-cloud191074(accessed January 22, 2013).

5. Electronic Privacy Information Center. 「Cryptography and Liberty 1999: An International Survey of Encryption Policy, 1999.」 Available:http://www.gilc.org/crypto/crypto-survey99.html(accessed January 16, 2013).

6. Hon, Kuan. 「Data Protection, the Law, and You.」 Computerworld UK, April, 2011. Available:http://blogs.computerworlduk.com/cloud-vision/2011/04/data-protection-the-lawand-you-1/index.htm(accessed January 16, 2013).

7. Kopytoff, Verne. 「The Cloud Carries Risks, Too.」 Bloomberg Businessweek, August 2012. Available:

http://www.businessweek.com/articles/2012-08-07/the-cloud-carries-risks-too(accessed January 15, 2013).

8. Dineley, Doug. 「Hybrid Cloud: Extend Your Private Cloud with Public Cloud Services.」 InfoWorld, April 17, 2012. http://www.infoworld.com/t/cloud-computing/hybrid-cloud-19107425

9.Mell, Peter and Grance, Timothy. 「The NIST Definition of Cloud Computing.」 NIST Special Publication 800-145, September 2011. Available:

http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf(accessed January 15, 2013).

10. Patel, Ash. 「Cloud Computing Providers—An Attractive Target for AET-based Attacks?」 Secure Business Intelligence, May 2012. Available:

http://www.scmagazineuk.com/cloudcomputing-providers--an-attractive-target-for-aet-based-attacks/article/243331/(accessed January 16, 2013).

11. Rana, Sadhana & Joshi, Pramod Kumar. 「Risk Analysis in Web Application by Using Cloud Computing,」 Zenith International Journal of Multidiciplinary Research, Vol 2, Issue 1, January 2012. Available:

http://zenithresearch.org.in/images/stories/pdf/2012/Jan/ZIJMR/30%20SADHANA%20RAN A%20AND%20PRAMOD%20risk_analysis_in_WebApplications_byCloud_Computing.pdf(accessed January 15, 2013).

12. SAS70.com. 「Service Auditors Reports.」 Available:

http://sas70.com/sas70_reports.html(accessed January 16, 2013).

13. Soghoian, Christopher. 「Caught in the Cloud: Privacy, Encryption, and Government Back Doors in the Web 2.0 Era.」 Journal on Telecommunications and High Technology Law, pp. 359-424, Issue 1, 2010. Available:

http://heinonline.org/HOL/Page?handle=hein.journals/jtelhtel8&div=18&g_sent=1&collectio n=journals(accessed January 16, 2013).

14. Spinola, Maria.「An Essential Guide to Possibilities and Risks of Cloud Computing.」January 2008. Available:http://www.mariaspinola.com/whitepapers/An_Essential_Guide_to_Possibilities_and_Risks_of_Cloud_ComputingA_Pragmatic_Effective_and_Hype_Free_Approach_For_Strategic_Enterprise_Decision_Ma king.pdf(accessed January 15, 2013).

15. Weiss, Todd R.「Cloud Fail: The Real Risk of Cloud Computing in Your Business Is Not Involving Your IT Team.」June 2012. Available:http://h30565.www3.hp.com/t5/ClearingUp-The-Cloud/Cloud-Fail-The-Real-Risk-of-Cloud-Computing-in-Your-Business-Is/bap/4548(accessed January 15, 2013).

16. Yoran, Elad. 「Encryption of Data-in-Use to Harness the Power of the Cloud.」 Cloud Computing Journal, November 19, 2012. Available:

http://cloudcomputing.syscon.com/node/2449343(accessed January 16, 2013).

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！