CSO（首席安全官）和其他IT安全專家首要考慮的云安全問題將會有哪些？未來一年中敬請留意以下五點：

智能手機數(shù)據(jù)

Qualys公司的CSO及云安全聯(lián)盟（CSA）成員RandyBarr表示，越來越多的用戶將訪問他們自選設(shè)備中的大量數(shù)據(jù)。

Barr稱：“與此同時，這也將帶來許多未解決的安全問題，我們可以期待新的解決方案來應(yīng)對移動設(shè)備，但在此之前，大量的數(shù)據(jù)泄漏會暴露出相關(guān)的移動安全問題。這其中可能的腳本包括移動設(shè)備上不可靠的云備份和高度機密資料。”

在移動設(shè)備上使用多種云服務(wù)時，不同的安全模型和條件之間會存在一些相互依存性。云服務(wù)提供商在支持移動用戶使用基于云的移動設(shè)備的同時，提供了許多機密移動設(shè)備數(shù)據(jù)的訪問。此外，移動設(shè)備的遺失或被盜能提供對云服務(wù)和數(shù)據(jù)進行根級別的訪問。移動應(yīng)用程序通常會直接和自動地提供云服務(wù)和數(shù)據(jù)的訪問。如果管理人員的移動設(shè)備被盜，亦或是利用不可靠的移動設(shè)備管理云服務(wù)，都將成為高度機密數(shù)據(jù)的主要威脅。

需求更完善的訪問控制和身份認證管理

金融服務(wù)公司ING的IT策略和架構(gòu)高級副總監(jiān)AlanBoehme稱：“云本質(zhì)上是高度虛擬化和高度聯(lián)合的，你需要一種方法，在自有云與他人云之間創(chuàng)建控制和管理身份�，F(xiàn)在已經(jīng)有第三方廠商交付了可以解決這些問題的產(chǎn)品和服務(wù)，但這些可能不適合那些傳統(tǒng)環(huán)境與云環(huán)境結(jié)合的大企業(yè)。”

持續(xù)關(guān)注法規(guī)遵從

AndyEllis首席安全官Akamai表示：“我認為法規(guī)遵從（特別是PCI）有可能仍是一項安全問題。企業(yè)還需要經(jīng)常應(yīng)對各種完全不同的流程來管理云中的數(shù)據(jù)和應(yīng)用程序。我們將看到更多關(guān)于云數(shù)據(jù)的安全保障案例。”

多租戶的風險

Sword&ShieldEnterpriseSecurity安全評估和風險總監(jiān)、IANS教學成員DaveShackleford表示，鑒于大多數(shù)云服務(wù)都大量運用虛擬化技術(shù)，將多個組織的數(shù)據(jù)封裝在一個物理管理程序平臺中就會存在相關(guān)的風險，除非制定具體的細分規(guī)則。

雖然已經(jīng)假定虛擬機和虛擬網(wǎng)絡(luò)組件會被“默認分離”，但管理程序平臺的缺陷和潛在弱點已經(jīng)證明云會產(chǎn)生細分問題。

Shackleford表示，關(guān)于缺陷最有利的證明是去年大家關(guān)注的KostyaKorchinsky豁免案。Korchinsky“攻擊”了VMware虛擬機，并運用被稱為CloudBurst的概念驗證工具在基礎(chǔ)虛擬層系統(tǒng)中執(zhí)行了一段程序。Shackleford還表示在2008年CoreSecurity發(fā)現(xiàn)了一個目錄缺陷，它可允許攻擊者從虛擬機上訪問管理程序的文件。

云標準和相關(guān)認證的出現(xiàn)

Barr表示，由于選擇云服務(wù)時可進行安全評估，標準和認證將對幫助用戶估計其數(shù)據(jù)所需安全級別起到極其重要的作用。云用戶也可繼續(xù)利用其現(xiàn)有的流程去評估云提供商的安全態(tài)勢，但有望出現(xiàn)更多開發(fā)指南和標準的民間組織。