漫步云端：谁给你的安全买单？

2015年，云计算安全将成为重头戏。在企业不断感受到云技术带来的如降低成本，资源充分利用等等种种好处之后，将有更多的企业把业务转向云端。但 伴随着过去两年的云安全事件的频繁发生，云安全已然成为企业实施云解决方案的头号劲敌。企业在使用云提供商提供的服务，一旦出现了安全事件，造成的损失是 不可估量的，而对此损失到底谁能为企业买单?

因此企业在选择云服务提供商之前，一定要三思而后行，确保该云提供商有确实可行的安全保护措施，能够为企业数 据安全做到十分保障，能够为企业安全事件买单。

云安全两大分类

2014年，就在微软渐渐获得用户认可，开始与包括亚马逊Web服务在内的主要竞争对手势均力敌的时候，它的信用度却惨遭滑铁卢。11月19号 GMT时区午夜过后不久爆发了一次大范围停电事件，宕机时间长达数小时之久。最近，据CloudHarmony的数据统计显示，微软在2014宕机时长高 居榜首，全年共宕机214次，总计54个小时左右。虽然，亚马逊公有云表现最佳，但也出现了34次共5小时的宕机时间。

对此，Gartner公司的分析师Jonah Kowall说，这些问题基本上都是因为人为错误，而不是硬件基础架构的故障。这也就暗示出云管理人员的能力不足，导致了安全问题的发生。宕机只是云安全 的一方面，是来自云提供商内部的安全隐患。另外，还有如苹果iCloud被黑导致好莱坞众女星艳照泄漏，这一黑客攻击主要是对iCloud帐号发起攻击， 侧面暴露出云安全技术措施不到位，这就是第二类云安全问题，来自于外部的恶意攻击，这就要求云提供商有雄厚的技术功底。

狭义云计算是指IT基础设施的交付和使用模式，指通过网络以按需、易扩展的方式获得所需的资源(硬件、平台、软件)。提供资源的网络被称为"云"。 "云"中的资源在使用者看来是可以无限扩展的，并且可以随时获取，按需使用，随时扩展，按使用付费。这种特性经常被称为像水电一样使用IT基础设施。

如何评估云服务提供商的安全性?

随着云计算价格的不断下降，将会有越来越多的大型企业采用云技术。企业如何打倒，或绕过云安全这块绊脚石?企业在选择合适的云服务提供商时，应该如何评估云服务提供商的安全性，他们需要从哪些方面考虑云厂商的安全措施?

根据诸如NIST、PCI安全标准委员会以及ISO等标准组织的定义，云计算服务提供商的安全性可以达到四个级别的保障：

铂金级：相当于军事组织的安全性，具有更为强大的加密措施和取消云计算供应商管理员的访问。
黄金级：相当于金融组织的安全性，其中包括渗透测试功能、多因素身份验证、存储加密和物理服务器隔离。
白银级：相当于一般企业的安全性，其中包括防止网络入侵、事件日志记录、连续性规划以及更为强大的安全性文档。
青铜级：基本的安全性，如防病毒、防火墙、漏洞管理、安全事件监控和物理安全访问限制。
所有希望使用云技术的企业都希望云厂商能提供白金级别的安全服务;相对的，所有云服务提供商都在向白金的安全级别努力，希望得到企业用户的信赖。

来源：51CTO.com