云計算的5大誤區，你知道幾個？

　　當黑客襲擊美國三大信貸機構之一Equifax公司的系統時，他們盜取了1.43億人的個人數據資料，這意味接近美國人口一半的公眾數據泄露。

　　Equifax公司的幾位高管辭職，但其嚴重的后果依然存在。其IT團隊沒有更新和修補Apache Struts，Struts是用來驅動一個允許個人爭議機構記錄的系統，由于沒有進行適當的更新，它就成為攻擊者獲得完整訪問權限的開放窗口。

　　當人們審視云計算和虛擬化環境中的合規性問題的誤區和現實時，人們必須處理和解決安全問題。事實上，云計算是一個非常適合數據保護的環境，并有適當的保護措施。人們也必須糾正監管機構反對應用云計算的錯誤觀點。

　　誤區1：企業的數據中心在安全方面勝過云計算

　　這里有一些重量級人物對于這個話題的思考：“紐約時報”科技編輯Quentin Hardy指出，與傳統數據中心環境中存儲的數據相比，云端的數據可能受到更高程度的安全保護。Hardy指出，一些全球最具技能和經驗的計算機科學家正在努力使這些云系統變得堅不可摧。

　　在行業媒體關于云安全性的觀點中，David Linthicum對有些人認為云計算沒有適當機制來創建真正安全或合規的環境進行了分析。 Linthicum認為人們應該對自己數據中心的服務器上的任何數據都要更加謹慎。通過他對傳統和云生態系統的評估表明，云計算比本地數據中心具有更好的安全性。

　　調研機構Gartner的報告對那些不相信云計算的人來說可能是最具顛覆性的消息。

　　Linthicum說：“主要云提供商的安全狀態與大多數企業數據中心一樣好或者更好，安全因素不應該被認為是采用公共云服務的主要阻礙。”

　　換句話說，云計算是一個最強大、最尖端的可靠工具，比傳統的數據中心更具合規性。分析人士預計，到2020年，基礎設施即服務系統所遭受的違規數量將比傳統數據中心環境至少低60%。

　　誤區2：監管者機構討厭云計算

　　云計算的兩個標準組織和美國聯邦政府機構越來越接受云計算的虛擬化設計，并將其視為一種可行的技術形式。例如，PCI安全標準委員會已經發布了云計算指南。

　　衛生和人類服務部(HHS)發布了HIPAA和云計算指南，而這與繼承或處理電子保護健康信息(ePHI)的醫療機構和繼承人服務合作伙伴有關。這些參數特別令人感興趣，因為它們表示是一種接受，在正確的保護措施到位的情況下，云計算可以符合聯邦法律嚴格的隱私和安全要求。

　　誤區3：遵從云計算并不需要企業承擔責任

　　合規性仍然是云計算服務提供商和受監管公司之間的雙重責任。 PCI指導原則規定：“客戶和云計算提供商應就所有安全要求達成一致的政策和程序，并且應明確界定和理解每項要求的操作，管理和報告責任。”這種語言類似于HHS下的商業伙伴協議(BAA)的概念。這些協議對理解和描述角色和職責至關重要。

　　誤區4：虛擬化是合規性的敵對者

　　云計算是虛擬機，但是在傳統數據中心環境中創建的虛擬機呢?如果企業滿足虛擬環境的特定需求，則可以完全符合云計算要求，如“PCI DSS虛擬化指南”所述。

　　例如，重要的是要特別注意虛擬機管理程序，因為虛擬化是一個獨特的攻擊面。企業還應該注意將不同信任級別的虛擬機混合在一起，因為入侵者可以使用安全控制較弱的虛擬機來獲得敏感數據。而虛擬的環境可以滿足所有主要的標準和規定的需求，也可以滿足物理設置的需要。

　　誤區5：合規很容易

　　事實上合規是復雜的。仔細審查所有提供商以幫助企業保護合規數據這非常重要。確保適當的保護措施到位，例如加密和備份，以及對流程、責任和問責制的清晰理解也是至關重要的。

　　云計算如今正在使用兼容設置來提高安全性，這與行業專家的觀點一致，認為云計算技術適用于任何組織。