16、云安全、治理与战略规划全解析

云安全、治理与战略规划全解析

云安全风险与应对

在云环境中，存在着多种安全风险。多租户模型下，硬件资源被共享，数据残留未删除的风险比企业拥有自有硬件时要高得多，因为可能会包含其他云服务消费者的数据。此外，恶意内部人员带来的潜在危害也更大，因为他们被授予了管理基础设施的管理权限。

虽然将风险转移给云提供商是理想的做法，但并不总是可行的。责任可以外包，但问责制不能。由于大多数企业没有能力对云提供商的安全性进行大规模评估，因此往往依赖法律协议，以便在发生安全漏洞时，能够明确责任方并获得相应赔偿。这些法律协议会参考云提供商能够证明合规的标准或认证证据。

云认证的必要性

成功评估云服务需要相当的专业知识，而这种专业知识通常只能通过提供云服务本身来获得。IT行业的特点是不断面临新兴技术、方法和模型，因此在不完全理解变革影响的情况下，因业务需求而推动根本性变革并不罕见。

IT行业通常会成立一个由行业合作伙伴组成的团体，他们共同制定标准，以协调新技术的采用方式。然而，标准本身并不意味着最终用户能够正确评估，可能存在影响定性判断的偏差。因此，通常会引入公正的第三方进行评估和审计，以确保符合给定的标准。

认证过程包括由认可的审计人员检查要审查的系统或基础设施，并根据一组正式标准进行评估。只有满足评估标准，才能获得合规证书。在选择云服务提供商时，相关认证是一个简单的筛选条件，能够确保特定领域的标准得到认证。

常见的适用于云计算的IT认证标准如下表所示：
| 标准 | 职责范围 |
| — | — |
| 信息及相关技术控制目标 (COBIT) | 一组描述组织应如何管理IT的流程声明 |