云计算安全问题解析二

目录一、三分技术、七分管理................................................................................................................................3二、如何看待云安全问题................................................................................................................................3三、云计算的安全问题.....................................................................................................................................41.第一方面..................................................................................................................................................42.第二方面..................................................................................................................................................43.第三方面..................................................................................................................................................4四、云计算的安全同传统的安全对比.........................................................................................................4五、云安全的几个核心问题............................................................................................................................41.身份与权限控制....................................................................................................................................52.WEB安全防护........................................................................................................................................53.虚拟化的安全.........................................................................................................................................5六、面对云安全问题采用的对策...................................................................................................................51.数据泄露的防护和数据使用的监视(审计.............................................................................52.认证和授权.............................................................................................................................................63.端到端的日志和报告...........................................................................................................................64.基础架构的强化....................................................................................................................................65.端到端的加密.........................................................................................................................................6七、除了技术方面,云计算的安全还要考虑哪些因素?....................................................................61.第三方认证................................................................................................................................................72.企业信誉....................................................................................................................................................73.合同约束....................................................................................................................................................7八、对于桌面云的安全性问题,用户应该从哪些方面考虑?需如何应对?................................71.瘦客户端....................................................................................................................................................72.瘦客户端和服务器的网络....................................................................................................................73.服务器的安全...........................................................................................................................................84.存储的安全................................................................................................................................................85.桌面镜像的安全......................................................................................................................................86.软件架构组件的安全.............................................................................................................................97.管理权限的安全......................................................................................................................................9九、业内对面临的云安全挑战有着哪些的看法?共有哪些方面?..................................................9十、云计算应用目前面临的主要安全风险有几个方面?.......................................................................9十一、云计算面临的安全威胁.....................................................................................................................101.大量迅猛涌现的Web安全漏洞.................................................................................................102.拒绝服务攻击...................................................................................................................................103.内部的数据泄漏和滥用.................................................................................................................104.潜在的合同纠纷与法律诉讼.......................................................................................................10十二、常见的云安全认识误区.....................................................................................................................101.认为云安全比不上数据中心.......................................................................................................112.没有对云服务供应商的安全性进行核实、测试或者审计................................................113.没有对云服务供应商的业务可靠性进行审查.......................................................................124.认为数据交给云服务供应商后就高枕无忧了.......................................................................125.将不安全的应用程序放入云中希望以此能让不安全程序变安全..................................126.不知道企业业务部门已经开始使用某些云服务..................................................................13十三、名词解释.........................................................................................................................................13前言:云安全在云计算中未有一个完整的定义,随着云计算的不断发展与扩大,使用云的用户越来越多,在云计算环境中。用户不再拥有基础设施的硬件资源。软件都运行在云中。业务数据也存储在云中,因此云计算安全关系到云计算这种革命性的计算模式是否能够被业界接受。云计算的安全与传统的安全存在一定的差异,传统的安全技术已经出现多年,标准、法律、法规都相对成熟,而现在的云计算安全缺少标准。而且政策法规也不健全,再加上云计算自身的特点,数据可以存储在世界的任何一个角落。当出现问题时,国家政策的不同也是云计算安全的一个重大挑战。注:具体文档详见《云面临的安全问题解析一》一、三分技术、七分管理网络安全领域的一句至理名言,其原意是:网络安全中的30%依靠计算机系统信息安全设备和技术保障,而70%则依靠用户安全管理意识的提高以及管理模式的更新。谈到网络安全,只能是相对安全而没有绝对的安全。有许多信息技术(IT从业者都有着类似的错误观念。他们认为自己的公司固若金汤,因为其配臵了精良的安全设备――防火墙、入侵检测,或是更为保险的身份认证系统,如时间令牌和生物识别卡。任何认为仅靠这些安全设备即可保证安全的人都会满足于虚假的安全感之中,这就是一个生活在幻想世界中的例子,他们迟早会不可避免的遭遇安全事故。正如著名的安全顾问布鲁斯〃施尼尔(BruceSchneier所说:“安全不是一件产品,它是一个过程。”近一步说,安全不是技术问题,它是人和管理的问题。由于开发商不断地创造出更好的安全科技产品,攻击者利用技术上的漏洞变得越来越困难。于是,越来越多的人转向利用人为因素的手段来进行攻击。穿越人这道防火墙十分容易,只需打一个电话的成本和冒最小的风险即可实现注:认证设备(身份认证、访问控制(对文件和系统资源的控制管理和入侵检测系统(计算机化的防盗器等技术,对公司的安全防护是十分必要的。然而,现在的公司在布臵保护企业免受攻击的安全对策方面的投入比其花在咖啡上的钱还要少。二、如何看待云安全问题云计算是一种新兴的共享基础架构的方法,可以将巨大的系统池连接在一起以提供各种IT服务。云计算指基于互联网的超级计算模式。即把存储于个人电脑、移动电话和其他设备上的大量信息和处理器资源集中在一起,协同工作。云计算是否必要?举一个例子来说说这个问题。过去,人们自家打井,各喝各的水,满足自身所需即可。可是随着人口越来越多,对水的需求也越来越大,开始的时候,自己家不够还可以去邻居家借点儿,可是总是不够的话就没法借了,而且水资源分配不均,有的人渴有的人撑,这该如何解决?为此,政府统一了水资源,修起水管到每家每户,各家按需取用,同时按需付费,这就是我们所说的自来水。简单来说,云计算就像这自来水。它把IT资源当作服务来提供,几乎所有IT资源都可以作为云服务来提供:应用程序、计算能力、存储容量、联网、编程工具,以至于通信服务和协作工具。几乎所有IT资源都可以作为云服务来提供:应用程序、计算能力、存储容量、联网、编程工具,以至于通信服务和协作工具。云计算具有低成本高效率的优点。在许多情况下,各种各样的机构和个人都喜欢作为一种服务来购买“计算”,而且那些已经在建超级分布式数据中心的公司毫无例外地会选择作为一种服务来提供这种基础设施。云计算是一种趋势,势不可挡,就像当年的井水变成如今的自来水。既然部署云计算势在必行,那么我们就做好充分准备迎接云计算的大驾光临吧!然而在部署云的过程中,安全问题不容小觑。谈到云计算,现实关于安全的争论似乎一直都没有停息过。三、云计算的安全问题1.第一方面云计算的服务提供商他们的网络是安全的吗,有没有别人闯进去盗用我们的帐号?他们提供的存储是安全的吗?会不会造成数据泄密?这些都是云计算服务提供商们要解决、要向用户承诺的问题。2.第二方面用户在使用云计算提供的服务是也要注意:在云计算服务提供商的安全性和自己数据的安全性上做个平衡,太重要的数据不要放到云里,而是藏在自己的保险柜中;或将其加密后再放到云中,只有自己才能解密数据,将安全性的主动权牢牢掌握在自己手中,而不依赖服务提供商的承诺和他们的措施。3.第三方面用户要保管好自己的帐户,防止他人盗取你的帐号使用云中的服务,最后却让你买单。不难看出,云计算所采用的技术和服务同样可以被黑客利用来发送垃圾邮件,或者发起针对下载、数据上传统计、恶意代码检测等更为高级的恶意程序攻击。四、云计算的安全同传统的安全对比云计算服务提供商需要采用防火墙保证不被非法访问;使用杀毒软件保证其内部的机器不被感染;用入侵检测和防御设备防止黑客的入侵;用户采用数据加密、文件内容过滤等防止敏感数据存放在相对不安全的云里。五、云安全的几个核心问题1.身份与权限控制大数用户对于云计算缺乏信心,首先是因为对于云模式下的使用权限和管理权限有顾虑。在虚拟的、复杂的环境下,如何保证自己的应用、数据依然清晰可控,这既是用户的问题,也是云服务提供商的问题,而这一点也是信息安全界看得比较清楚的。因此,身份与权限控制解决方案成为云安全的核心问题之一。认证控制方面的解决方案已经能够基本覆盖全部业务流程和大多数业务方向,而简化认证管理、强化端到端的可信接入方面将会是下一阶段发展的方向之一。2.WEB安全防护云计算模式中,WEB应用是用户最直观的体验窗口,也是唯一的应用接口。而近几年风起云涌的各种WEB攻击手段,则直接影响到云计算的顺利发展。3.虚拟化的安全虚拟化是作为云计算最重要的技术支持之一,也是云计算的标志之一。然而,虚拟化的结果,却使许多传统的安全防护手段失效。从技术层面上讲,云计算与传统IT环境最大的区别在于其虚拟的计算环境,也正是这一区别导致其安全问题变得异常“棘手”。虚拟化的计算,使得应用进程间的相互影响更加难以捉摸;虚拟化的存储,使得数据的隔离与清除变得难以衡量;虚拟化的网络结构,使得传统的分域防护变得难以实现;虚拟化的服务提供模式,使得对使用者身份、权限和行为的鉴别、控制与审计变得极其重要。面对云计算的安全问题,现如今有许多基于云服务提供的安全,包括Web和邮件过滤、网络流量访问控制和监控以及用于支付卡业务的标记化。不同安全服务的一个重要区别是,一些是“在云中”的、一些是“针对云”的,即那些集成到云环境中作为虚拟设备提供给用户使用和控制的安全服务。在选择云安全服务时,要多同服务提供商沟通,了解他们能具体提供什么以及自己的需求他们是否能满足,最好签订一份服务协议,这有助于降低企业的风险。六、面对云安全问题采用的对策1.数据泄露的防护和数据使用的监视(审计企业需要密切地监视存储在公共云和私有云IaaS基础架构中的数据。在将IaaS部署在公共云中时,这一点尤其重要。你需要知道谁在访问信息、如何访问(从何种设备访问、从何处访问(源IP地址、在信息被访问之后发生了什么问题(是被转发给了另外一个用户或是被复制到了另外一个位臵。可以通过利用现代的版权管理服务,并对企业认可的所有关键信息应用限制。必须为这种信息创建策略,然后以一种无需用户干预(用户没有责任决定哪些是关键信息,从而受到限制保护的方法来部署这些策略。此外,你还应当创建一种透明的过程,控制谁可以访问这种信息,然后为不需要在公司数据中心之外长期存在的敏感信息创建并实施一种“自我破坏”策略。2.认证和授权为了获得一个高效的数据丢失防护(DLP方案,你还需要强健的认证和授权方法。如今,业界都认可用户名和口令并非最安全的认证机制。企业应当考虑对需要限制的所有信息实施双因素或多因素认证。此外,可以考虑根据你对IaaS云方案的每一个供应商的信任水平,建立分等级的访问策略。显然,对其它公司的邮件服务的授权水平要比对自己公司的活动目录环境的授权水平低得多。你需要将这种分层授权整合到你的DLP方案中。3.端到端的日志和报告高效的IaaS部署,无论是在私有云中还是在公共云中,都要求部署全面的日志和报告。由于虚拟机自动转换并且在服务器之间动态地进行迁移,你绝对无法知道在任何时点上自己的信息在哪里(在我们关注存储虚拟化和动态迁移问题时,这个问题更为有趣。为了跟踪信息在哪里、谁访问信息、哪些机器正在处理信息、哪些存储阵列为信息负责等,你需要强健的日志和报告方案。日志和报告方案对于服务的管理和优化非常重要,在遭受安全损害时,其重要性更为明显。日志对于事件的响应和取证至关重要,而事件发生后的报告和结果将严重地依赖于你的日志基础架构。务必确保记录所有的计算、网络、内存和外存活动,并确保所有的日志都被存储在多个安全位臵,且极端严格地限制访问。你还应确保使用最少特权原则来推动日志的创建和管理活动。4.基础架构的强化你需要确保你的“黄金镜像”(企业为每个目标用户群构建的适合其需要的虚拟机定制桌面虚拟机和虚拟机模板得到强化并保持清洁。在创建镜像时,这可以通过初始系统的强化来实现,而且你还可以利用最新技术,通过最新服务和安全更新来离线地更新镜像。要确保部署一个过程,用以经常测试这些重要镜像的安全性,确保其不会偏离你最需要的配臵,不管是出于恶意或非恶意目的而对原始配臵做出改变。5.端到端的加密IaaS作为一项服务,需要充分利用端点到端点之间的加密。确保你利用整盘加密,这会确保磁盘上所有数据的安全,而不仅仅是对用户的数据文件进行加密。这样做还会防止离线攻击。除了整盘加密,还要确保IaaS基础架构中与主机操作系统(在物理计算机(宿主机上运行的操作系统,在它之上运行虚拟机软件和虚拟机的所有通信都要加密。这可以通过SSL/TLS或IPsec实现。这不仅包括与管理工作站之间的通信,还包括虚拟机之间的通信(假设你允许虚拟机之间的通信。此外,如果可能,尽可能部署同态加密等机制,以保持终端用户通信的安全。七、除了技术方面,云计算的安全还要考虑哪些因素?对于云安全这个领域,技术不是万能的,用户并不全是安全领域的专家,也无法判断一个云计算服务在技术上是否真正做到了安全可靠。因此,一些传统的非技术手段可以被用来约束服务提供商,以改善服务质量,确保服务的安全性。1.第三方认证第三方认证是提升信任关系的一种有效手段,即采用一个中立机构对信任双方进行约束。这个机构需要具备很好的公信力,不会轻易被任何一方左右,而且在安全领域具备丰富的经验和技术能力。2.企业信誉企业信誉对于任何一个竞争领域的企业来讲都是至关重要的。一般来讲,越大的企业对于自身信誉越看重,不会因为利益去窃取客户的数据。从这个角度上讲,选择有实力,有信誉的服务提供商是云计算用户的正确选择。3.合同约束对于商业运营来说,从合同的角度对安全性进行约束是用户所希望的。目前已经有许多云计算服务提供商推出了自己的云计算服务的服务水平协议,这些协议从服务质量、技术支持和知识产权等方面对服务进行了规范,对服务提供者与使用者的权利和义务进行了明确。八、对于桌面云的安全性问题,用户应该从哪些方面考虑?需如何应对?以下是从整个系统的角度来端到端看桌面云系统的安全性,其中既有硬件,也有软件。忽略整个系统任何一个小的方面,都可能导致整个系统的不安全。1.瘦客户端现在任何一个瘦客户端都可以访问自己在云端的桌面,这对于一般情况下是没有问题的,而且还获得了移动性的好处。但是在某些场景下,这却是一个安全弱点,例如在一些对安全要求极高的单位。以前在使用传统桌面的时候,由于物理上的隔离,其他人无法进入这个安全区域来窃取资料;而在使用桌面云时,窃密者却可以非法获取别人的用户名和密码,或者使用自己合法的用户名密码,在安全区域外通过任何一台瘦客户端来访问。为了防范这种情况的出现,我们除了登录使用用户名和密码外,要通过添加另外一种认证方式来确保没有非法访问。这种另外的认证方式可以是限制瘦客户端的MAC地址,限定某一范围内的MAC地址可以访问,配臵智能卡认证等等。2.瘦客户端和服务器的网络客户端和服务器之间的通信由于是通过网络上传播,所以有可能被人窃听、破解,来破坏数据的完整性。为了防范这种情况的出现,一种方法是采用私有云方案,保护网络中的客户都是可信任客户。另一种方式对通信的数据进行加密。在桌面云方案中一般对于公司防火墙外的非信任用户提供安全连接点,外部用户通过这个安全连接点连接到防火墙内的服务器,这种安全连接点的原理类似于SSLVPN。对于公司防火墙内部的用户和服务器之间的连接,一般是通过SSL协议进行加密传输。通过这两种方式,桌面云方案有效的保证了数据传输的安全性。3.服务器的安全和通常的数据中心的服务器一样,桌面云方案中的服务器也必须遵循企业一般的安全策略,例如关闭所有的不需要的端口,安装必须的防火墙以及升级到最新的安全补丁,每天进行备份,部署监控软件等等。但是和一般服务器相比较特殊的一点是,由于有些桌面云解决方案软件模块之间通信的要求,我们必须以root用户登录进行操作,这是非常危险的一方面,目前除了加强安全教育和加强审计之外,没有其它办法对root用户操作造成的危险进行规避。希望不远的将来所有的云桌面解决方案杜绝使用root用户,对用户权限进行分层。4.存储的安全桌面云中的存储的安全要求和企业中的其他存储安全基本上是一样的。在桌面云系统中从性能出发,一般使用FiberChannel(FC存储,但是FC协议本身不是一个安全的协议,服务器可以看到后台StorageAreaNetwork(SAN上面所有的设备。最常用的存储安全方式是在FC的路由器做分区(Zoning和逻辑单元数掩码(LUNMasking。考虑到高可用性,桌面云中的存储需要考虑备份方案,这样在发生灾难的时候就可以及时回复用户的数据,保证服务的SLA。在传统桌面中,用户数据都是保存在本地的硬盘当中,非授权用户未经许可,难以获取用户数据。但是在云桌面方案中,用户数据都是保存在服务器存储中,云桌面管理员可以比较容易的获取这些数据,这就要求我们对用户数据加密,防止未经授权的获取用户数据,同时对管理员的密码和访问都需要做出严格的限制,防止用户数据的泄密。5.桌面镜像的安全桌面云中,如果桌面配臵成非持久方式,而且用户又没有的存储文件的话,要恢复一个受到病毒侵袭的桌面是非常容易的。只需要重启桌面,桌面就自动恢复到以前未受感染时的状态,而用户数据保存在云端,没有受到病毒的影响。但是如果用户有私有文件的话,由于这些文件是可写的,所以病毒就可能常驻在这些文件里面。我们需要运行反病毒软件来清理病毒,所以防病毒软件必不可少,我们必须给桌面云中的桌面安装防火墙和防病毒软件,就像传统桌面一样。和传统桌面相比,这种安装是非常快的,因为我们一般只需要在几个基础镜像上进行安装就可以了。6.软件架构组件的安全在桌面云的一个安全架构中,通常许多组件都有冗余配臵,关键组件甚至可以有多个冗余配臵,这样就保证了系统的高可用性以及在大量负载下的负载均衡。在有大量用户访问的情况下,一般在系统的最前端就有一个负载均衡器,把用户的连接请求发送给不同的服务器去处理,根据系统的大小,可能会有一个或者多个负载均衡器在前端处理客户的请求。根据需要,我们还可以在最前端的负载均衡器上加上安全访问控制组件,保证连接的用户都是经过认证和安全的,防止分布式拒绝服务(DDOS攻击。例如,在系统前端的防火墙后,可以设臵一个安全网关,负责用户的鉴权、授权,并却加密所有在客户端和服务器之间的通信。7.管理权限的安全桌面云系统中所有的管理都集中到云端进行,不小心的误操作或者黑客获得管理权限之后的有意操作会造成很大的影响。影响的大小取决于操作的类型和总的用户的数量。所以在桌面云系统中采取下面这两种措施来消除这种影响。(1定义不同的管理角色:例如分为维护用户,升级用户和管理用户。这里只是一个示例,可以根据实际需要来进行更细粒度的划分。(2审计:对每个涉及到系统变更的操作都需要做好审计工作,这样在事故发生以后可以追溯系统中的变化,及时作出回退操作。审计也能有理由识别出恶意操作,及时发现系统的漏洞。九、业内对面临的云安全挑战有着哪些的看法?共有哪些方面?云计算主要面临四方面的挑战。首先,最重要的是应用和数据安全问题,只要包含用户敏感数据在云上,就会有数据安全的隐患,在企业私有云中,不同部门的数据放在云上,同样有一个信息安全的问题,特别是财务数据、人力资源数据、客户数据等等。第二大问题是互操作、标准化,例如不同云之间的互操作性特别差,再比如在PaaS层面,如果不同开发商提供的接口不兼容的话,就可能需要重新开发接口。第三是服务质量保证的问题,比如Google服务就出现过中断。第四是管理模式面临的挑战,云计算强调集中,如果云集中化谁来管理、谁来运维,就产生了职责划分等管理模式改变的问题。十、云计算应用目前面临的主要安全风险有几个方面?第一是用户信息滥用和泄露风险。第二是多租户环境下,用户信息安全、信息隔离等都提出了新的要求。第三是服务可用性威胁,用户的数据和业务应用处于云计算系统里,对服务连续性、SLA和IT流程、安全策略、应急响应等都提出了挑战。第四是黑客攻击的威胁,用户信息资源高度集中,容易成为黑客攻击的目标,包括窃取云计算关键应用、信息,也可以盗用云计算的计算能力进行非法使用。最后是法律的风险,因为云计算应用信息流动性大、地域性弱,信息服务或用户数据可能分布在不同地区,甚至是不同国家,在政府信息安全监管、行业规范等方面都可能存在法律差异和纠纷。十一、云计算面临的安全威胁云计算面临的安全威胁林林总总,非常之多,简而言之,比较有特殊性的主要包括以下四个方面:1.大量迅猛涌现的Web安全漏洞与传统的操作系统、数据库、C/S系统的安全漏洞相比,多客户、虚拟化、动态、业务逻辑服务复杂、用户参与等这些Web2.0和云服务的特点对网络安全来说意味着巨大的挑战,甚至是灾难。2.拒绝服务攻击拒绝服务攻击DoS和DDoS不是云服务所特有的;但是,在云服务的技术环境中,企业中的关键核心数据、服务离开了企业网,迁移到了云服务中心,更多的应用和集成业务开始依靠互联网,拒绝服务带来的后果和破坏将会明显地超过传统的企业网环境。3.内部的数据泄漏和滥用企业的重要数据和业务应用处于云服务提供商的IT系统中,如何保证云服务商自身内部的安全管理,如何避免云计算环境中多客户共存带来的潜在风险,这些都成为云计算环境下用户的最严肃的安全顾虑或挑战之一。4.潜在的合同纠纷与法律诉讼云服务合同、服务商的SLA和IT流程、安全策略、事件处理与分析等都可能存在不完善;另外,虚拟化带来的物理位臵不确定性和国际相关法律法规的复杂性,都使得潜在的合同纠纷和法律诉讼成为利用云服务的重大挑战。换一个角度来看,对于开展云安全业务的电信运营商而言,则会面临两个非常现实的问题和挑战:一是如何与客户签订适当而合理的SLA协议;二是如何规避前向收费价格战,这不仅仅是一个商业模式(businessmodel的问题,无论采用哪一种收费模式(payperuse或paypermonth,都存在一个前向收益的挑战——用户更倾向于价格便宜的服务。如何说服用户购买一个更好而不是更便宜的服务,是电信运营商必须仔细思考的。十二、常见的云安全认识误区在这种经济萧条的大背景下,IT部门都面临着IT安全预算紧缺以及不断增强的合规要求等问题,企业们都在考虑是否应当将某些IT运营交给云服务供应商处理。事实上,每个人都深感压力，预算不够的情况下还要尽力保护数据的安全，特别是中小型企业，这也就意味着企业需要将部分IT运行外包给第三方以减少资金和人力方面的投资。急切地投身到云计算中从安全角度考虑是很危险的，但是如果你认为你能够比服务供应商更好的保护你的基础设施，而完全不考虑云计算也是不明智的举措。其他错误想法还包括：认为将数据交给云服务供应商后就不再需要为数据安全保障负责人;认为是由你来决定企业是否以及如何使用软件即服务(SaaS：可能你会发现你是最后一个知道企业已经部署SaaS的人。当企业在考虑或者决定将企业的系统、应用程序以及数据转移到基于服务的模式(即云计算时，还会犯很多其他错误，这些错误包括：没有对云服务供应商的安全性进行验证和测试，不对供应商的可靠性进行核实，不做任何修改就将企业不安全的应用程序交给供应商，希望应用程序自动会变得更加安全。让我们来仔细分析这六种常见安全云计算错误，以及如何避免发生这些错误。1.认为云安全比不上数据中心作为保护公司数据和知识产权的主要负责人，安全专家们基本上都有很强的控制欲望，这也让安全专家们产生这样的误会，最常见的错误就是，只要我们谈论云计算，企业们就会认为云计算的安全性比不上企业自己的IT安全运营，企业普遍认为，控制力度越强就越安全。事实上，对于像Google的SaaS这样的云服务，数据丢失发生的可能性不大，因为这些数据是可以随时随地被访问的，而不会被保存到容易丢失或者偷窃的USB存储设备或者CD，Google的安全漏洞修复计划比一般企业的安全更新要更加有条理，因为Google的服务器结构很均匀。很多攻击的发生都是因为企业缺乏安全漏洞管理和服务器的错误配臵，对于我们而言，当新的安全补丁发布时，我们可以迅速对整个平台进行统一修复。SaaS和其他云供应商则具有更加整体的观点，对于企业而言，只能看到对企业造成威胁的一小方面。云供应商可以从更全面的角度来看待整体经济规模，云可以改变安全局势，也有能力提供更好的安全。但是这并不意味着企业可以盲目地相信云服务供应商，虽然较大型供应商可能能够提供更好的服务，云服务供应商是从更加复杂的水平来处理安全问题的，而不像企业IT团队一样，只关注每天的需求。盲目的认为云安全提供的安全性不高或者存在更多问题都是不正确的。到目前为止，安全问题是云服务广泛部署的主要障碍，对云服务缺乏信任一直是阻止云服务广泛应用的因素，而不是云服务的技术能力，但是很多情况下，云服务比企业环境都更加安全。2.没有对云服务供应商的安全性进行核实、测试或者审计当你在选择服务供应商的时候，不要轻易就对供应商的安全性下结论，要对供应商如何保护你的数据以及供应商基础设施的安全性进行核实。轻易相信供应商是不行的，你必须对云服务供应商的安全性进行核实、测试或者雇佣第三方对其进行审计。但是测试供应商的安全性也不是那么简单。并不是所有云服务公司对于自己的安全策略和规定都能够讲清楚，通常不能进行很好的沟通。还有些不清楚数据中心云是如何被保护的，云服务供应商需要更好的解释云计算，让用户感觉舒服，并不是因为云服务供应商没有更好的安全性，而是因为不是那么透明。要确保你的云服务供应商是以安全的方式隔离各个系统的，企业并没有核查他们的系统和数据是否被分隔开来，他们只是确认虚拟机被分隔了，但是他们的应用程序可能在同时运行100个其他虚拟机的服务器上运行，并且供应商可能不会进行适当的隔离，或者IP地址不会被防火墙阻止。雇佣可信任的第三方验证云供应商的安全性，或者与供应商商量让你对其进行在线测试和验证，供应商应该将他们如何分隔客户们的系统付诸文档形式，这样就比较容易让用户验证。要确认虚拟机是否受到保护，你可以在环境外运行端口扫描来确认你不能进入其他客户的机器。云服务供应商对于其安全和隐私的明确度可以判断供应商的安全性，如果他们对于他们的安全能力很自信的话，那么相对来说，是比较安全的，反之，如果供应商不太愿意谈论安全问题，那就要考虑别家供应商了。与此同时，云计算也提供了一种从数据方到云服务外建立安全的机会，这应该是互联网所需要做的，现在我们需要选择最好的安全技术，并将这些技术部署到安全的云服务产品中。3.没有对云服务供应商的业务可靠性进行审查在确认云服务供应商的业务可靠性前就完全信任供应商，如果你的供应商明天突然消失的话，你能够做什么？曾经就发生过这样的案例，位于美国德克萨斯州的某家供应商就因为涉嫌非法活动，FBI突然查抄了这家公司并且没收了数据中心和计算机。只有一台电脑用于非法目的，结果其他电脑也被没收了，让客户蒙受了很大的损失。因此，用户们应该做好这方面的打算，最好将所有能够确保业务正常运行的内容拷贝一份，以防云服务供应商突然停止提供服务。另外，你还需要确定云服务供应商是否有灾难备份计划，这对于较小型云服务供应商来说是挑战。庆幸的是：我们很少听说云服务供应商突然停止提供服务的消息，而更可能出现的问题是与安全做法相关的问题。而且到目前为止，企业们还只是将一些不是很关键的应用程序(如电子邮件程序交给云服务供应商，这样云服务对其他企业应用程序可能带来的风险比较小。4.认为数据交给云服务供应商后就高枕无忧了不要认为将应用程序或者系统外包出去就意味着你完全不用对数据泄漏负责了，这也是很多中小企业持有的错误观点。将对数据的保护交付给云服务供应商并不意味着，当发生数据泄漏的时候，你就完全没有责任。最终，企业需要对数据泄漏负责，