????目前，云計算公司正大量涌現，與此同時，一些科技巨頭也在爭相收購此類公司。顯而易見，我們大量的用戶數據已經存儲在云端了。我們的電子郵件、文檔以及社交網絡的用戶資料都是如此，而且成千上萬的新興小企業都在依賴類似SalesForce.com的云服務，以提高生產效率、降低成本。但是，云服務的安全性仍然堪憂。隨著越來越多的數據轉向云端，各公司及其用戶是否更容易遭遇黑客襲擊、數據丟失以及隱私侵犯問題？

什么有風險？

????就拿信用卡數據來說吧，我們中絕大部分人都會不假思索的將信用卡卡號和密碼保存到自己的在線購物檔案中。支付卡行業（Payment Card Industry，PCI）是一個全球性的信息安全標準，由維薩卡（Visa Card）、萬事達卡（MasterCard）、美國運通卡（American Express）及發現卡（Discover）等共同確定。該標準對處理信用卡信息這類高風險數據的基礎設施提出了具體的要求。如果某基礎設施不能滿足所有要求，它就不符合支付卡行業標準。而因為云服務基礎設施與支付卡行業標準的適用對象差別很大，所以事實上，大部分云服務供應商都不符合支付卡行業標準。

????云服務商們如何加密用戶數據，對于安全性同樣至關重要。然而，弗雷斯特公司（Forrester）云分析師王晨希（Chenxi Wang，音）表示，云數據加密并不規范。一些服務商加密數據，而另一些則沒有。對于那些提供加密的服務商，需要注意的是它們的加密強度是否足夠；它們用來存放你的數據的實體服務器是否完全加密（也就是說，所有用戶數據是否都是使用同一方法加密？）；以及它們是否會提供應用程序，獨立加密你的數據，而且針對不同用戶使用不同密鑰？

????最后一點隱患來自于時下流行的云服務實現架構：一些云服務商將不同客戶的數據存放在同一個實體服務器上。這樣，客戶A可能是在執行一個虛擬機，而客戶B則在執行另一個虛擬機，但他們實際上是在同一實體服務器上運行。如果有經驗的黑客利用安全漏洞獲得了客戶A的權限，那么獲取客戶B的數據對他來說也并非難事。甚至極端一點，如果客戶A有心作祟，他們也能成為竊賊。

????王晨希承認：“上文提到的風險可大可小，完全取決于云服務商。從絕對安全的角度來看，如果你正在使用一家服務商的云服務，而另一家公司也剛好選擇了同樣的云服務，那么該公司就有可能利用隱藏型終端或是別的接口，侵入設備內屬于你的部分，從而竊取你的數據。”

????云服務商使用第三方公司提供的各類組件同樣會帶來隱患。雖然亞馬遜（Amazon）的云服務完全是內部開發的，但其它云服務則越來越依靠第三方公司。

????王晨希列舉了最近發生的一個例子，一家服務商由于使用第三方公司而造成嚴重后果。因為數據備份需要，客戶數據經常需要備份到磁帶或是其它介質中，但在規定的時間過后，絕大部分備份數據都應被銷毀。最近，一家云服務商將備份磁帶交給一家數據銷毀公司處理，王晨希稱該數據銷毀公司遺失了所有的磁帶，也就是說磁帶上的所有用戶數據都不知所蹤。

????王晨希表示：“這家云服務商的處境非常艱難，因為他們沒法確認數據都真的被銷毀了。”

降低云服務的風險

????為了盡量避免陷入上述困境，尋找云服務供應商的潛在客戶必須好好做下功課。

????客戶如果想完全了解和控制自己的數據，那只有一個辦法，就是盡可能多的了解情況，并在合同談判的過程中保持強硬。既然沒有PCI這樣的標準，那就不要盲目相信他們能夠保護你的數據，或是輕信他們的片面之詞：客戶們應該知道數據存儲的細節；知道自己的數據在與他人共享的實體服務器上是如何被加密的；知道服務商們是否使用了第三方服務；還應該知道那些服務商們的工作流程。客戶應該非常清楚自己的數據是如何被處理的，以及云服務商的里里外外有哪些人可以接觸到這些數據。

????在上文提及的備份數據丟失事件中，大家似乎理所當然的認為那家云服務商會及時聯系受影響客戶，告知他們安全隱患。但實際上，該公司并沒有義務這樣做，除非他們與客戶的合同中有明確規定。所以，你必須明確要求服務商，無論遇到何種情況，都要給客戶通知提醒。

????在合同談判中，還有哪些需要了解的呢？首先是雇用第三方機構時的“優先購買權”，其次是考察服務商是否能提供獨立實體服務器和機柜，以及獨立數據加密服務。客戶的上述要求并不一定能得到滿足，這取決于他們與服務商的合作歷史及其業務的價值，但是，如果客戶不提出這些要求，并隨后出現安全問題，其代價可能相當慘重。當然，在過去幾年中，一些最為嚴重的隱私數據丟失案例，都是因為筆記本被偷，那些絕對不應出現在個人電腦上的數據，最后卻落入小偷之手（實際情況甚至可能更糟糕）。

????顯然，以上所有注意事項，對那些正在建立基于云端的業務，且希望善待客戶的公司來說至關重要。但事實上，除去公司網站上千篇一律的隱私保護聲明，普通客戶通常都無從得知自己的數據究竟是如何被處理的。也就是說：尚未能確保數據安全，我們就已經進入云時代了。

????譯者：項航