在一些案例中，基于云的服務(wù)增加了一個(gè)企業(yè)的受攻擊面和削弱既有的安全控制和策略，Chester Wisniewski表示，他是英國安全公司的高級安全咨詢師。

根據(jù)一項(xiàng)最新的安全威脅報(bào)告，2013年，在大多數(shù)企業(yè)中，基于云的服務(wù)應(yīng)用會(huì)拋出新的問題，主要是關(guān)于數(shù)據(jù)連續(xù)性、數(shù)據(jù)安全和可靠性。

Sophos 2013安全威脅報(bào)告警示企業(yè)在采用基于云的服務(wù)時(shí)會(huì)承擔(dān)新的風(fēng)險(xiǎn)。在合同談判期間需要主要解決風(fēng)險(xiǎn)，使得數(shù)據(jù)在轉(zhuǎn)移到服務(wù)提供商的大型數(shù)據(jù)中心前就處理好。在一些案例中，基于云的服務(wù)增加了一個(gè)企業(yè)的受攻擊面和削弱既有的安全控制和策略，Chester Wisniewski表示，他是英國安全公司的高級安全咨詢師。

“和律師多做溝通，確保你的所有需求都符合，并要清晰的指出來，以便在事故發(fā)生時(shí)雙方都知道自己的責(zé)任，”Wisniewski表示。

在應(yīng)用基于云的服務(wù)時(shí)，企業(yè)需要考慮三個(gè)問題：

1、如何阻止信息泄露?

Dropbox這樣的服務(wù)可以讓員工輕松的存儲(chǔ)和共享包含公司數(shù)據(jù)的文檔。同時(shí)公司首先嘗試嚴(yán)格限制第三方服務(wù)，比如Dropbox，現(xiàn)在，一些企業(yè)增加了控制，比如加密確保敏感數(shù)據(jù)不會(huì)落入不合適的人手中，Wisniewski說道。安全技術(shù)保護(hù)的數(shù)據(jù)應(yīng)該適當(dāng)?shù)牟渴穑瑫r(shí)對于用戶是易于使用的，他說。“你需要在數(shù)據(jù)進(jìn)入云端之前知道數(shù)據(jù)的安全性，”Wisniewski說道。

Wisniewski相信基于云的服務(wù)會(huì)潛在的擴(kuò)大企業(yè)打破數(shù)據(jù)安全性的方法。要提供員工用移動(dòng)設(shè)備訪問數(shù)據(jù)或者遠(yuǎn)程在云端鍵入到系統(tǒng)中的安全控制方法。蘋果Ipad應(yīng)用可以提供加密和解密功能，提供另一個(gè)層面的保護(hù)。“財(cái)務(wù)、銷售和市場人員不應(yīng)該是密碼天才，從而才能報(bào)數(shù)數(shù)據(jù)，”他說。

“你要清理所有知道的人員，他們可能就是無意的看一眼，”Wisniewski表示。

2、云提供商是否合適的將審查和安全標(biāo)準(zhǔn)放到合同需求中?

目標(biāo)黑客學(xué)習(xí)業(yè)務(wù)合作伙伴，典型的是小型的公司，服務(wù)于大型企業(yè)，就能夠進(jìn)入到主要的合作網(wǎng)絡(luò)中。航空與國防產(chǎn)業(yè)的部分制造商，運(yùn)貨商和供應(yīng)商都有可能落入黑客的十字線中，Wisniewski表示。

“罪犯知道小型企業(yè)是大企業(yè)的合作伙伴，會(huì)有松懈安全問題，但是仍舊是值得信賴的實(shí)體，”Wisniewski說道。“這是個(gè)實(shí)際的問題。”

合同安排應(yīng)該包括能確保第三方系統(tǒng)被測試并且有適當(dāng)?shù)陌踩刂疲f。云提供商應(yīng)該提供證據(jù)，證明符合安全標(biāo)準(zhǔn)，能提供機(jī)制允許獨(dú)立的測試。“有的公司有PCI評估，因此有一張紙展示了了法規(guī)遵從并不能足以衡量這些，”Wisniewski說。

數(shù)據(jù)保持、故障轉(zhuǎn)移、緊急事件回應(yīng)程序、系統(tǒng)監(jiān)控和維護(hù)都應(yīng)該在合同安排中明確表達(dá)。確保如果和云提供商的關(guān)系如果破裂，有辦法得到自己的數(shù)據(jù)并轉(zhuǎn)移到其他的提供商中。

“如果你非常多疑，你就不能達(dá)成以你的標(biāo)準(zhǔn)保護(hù)數(shù)據(jù)的協(xié)議，然后你需要做的就是在自己的數(shù)據(jù)中心運(yùn)轉(zhuǎn)，”Wisniewski說，“使用云的企業(yè)的成本好處中大部分是分布式的，你不知道數(shù)據(jù)會(huì)去到哪里。這些都是合同控制的。”

3、你能阻止虛擬服務(wù)器快照(捕獲當(dāng)前操作內(nèi)存圖像——包括所有的工作加密密鑰)嗎?

不使用公有云，很多公司正在使用虛擬機(jī)在自己的數(shù)據(jù)中心中設(shè)置私有云。這種方法被看做是減少成本和改善效能的最佳途徑，Wisniewski說道，但是招來了安全問題。

安全研究院已經(jīng)演示了極端的技術(shù)hypervisor攻擊，但是復(fù)雜的攻擊風(fēng)險(xiǎn)還是會(huì)被網(wǎng)絡(luò)罪犯使用，專家說道。相反，企業(yè)面對著虛擬機(jī)的潛在陷阱。配置錯(cuò)誤和糟糕的側(cè)率會(huì)增加缺點(diǎn)，也會(huì)為黑客使用來訪問敏感數(shù)據(jù)。比如，每當(dāng)虛擬快照捕獲一個(gè)系統(tǒng)狀態(tài)——備份系統(tǒng)的常用方式，通常密碼和加密密鑰就會(huì)在內(nèi)存中，因?yàn)樗麄儽仨毮軌蚪饷芪募？煺帐枪?jié)省時(shí)間的方式，也是很好的備份機(jī)制，但是需要安全的存儲(chǔ)，Wisniewski說道。

“你不得不在內(nèi)存中存儲(chǔ)加密密鑰，但是應(yīng)該在內(nèi)存中模糊它們，”他說。