当数据在云里被攻破，谁收拾残局？

       虽然云计算概念近期被炒得沸沸扬扬，不过，仍然有很多业内人士对云计算持怀疑态度，他们也一直在说服许多信息中心安全人员和基础设施即服务（IaaS）供货商了解云运算的成长态势。让我印象最深的是他们通常有一种感觉（错觉），认为IaaS供货商会好好处理公共云的安全。

　　IaaS供货商在基础安全方面（物理安全防护，外围防火墙, 负载平衡，可能还有网络 IDS/IPS，等等）做的相当不错，并且在这个游戏里，他们得下一些本钱。虽然偶尔也有IaaS 卖家努力采用更高级别的安全策略使自己脱颖而出，然而许多卖家（即使不是大多数）还是更专注于提供有竞争力的价格和适应性所以IaaS的概念承诺的是与本地信息中心相关的安全。

　　虽然IaaS供货商努力营造一个安全的环境，防护的责任和义务却在于使用这项服务的企业。在这个方面，Amazon网络服务的Customer Agreement(客户条款)里写的很清楚：

　　7.2. 安全。我们努力保护您的内容，但是，鉴于因特网的性质，无法保证我们一定能成功做到。因此，不限于上述条款4.3 和以下的11.5，您同意承担您的内容和应用软件的安全，保护和备份的全部责任。

　　你可以访问你最喜欢的IaaS供货商的网站，看看他们的服务或服务程度协议的条款，通常会看到他们承担的责任不会大于你可能用到的运算环境里的物理安全，人身安全和基本的外围安全。这很可能是因为许多IaaS供货商都在爱好诉讼的美国，这里的人们以喜欢控告别人著称（IDC的Frank Gens在最近的一次IDC在线讨论上提到在最近的一个开庭期内，75%的云运算服务市场都在美国）。IaaS供货商如果想继续留在这个行业里就必须明确限定他们的法律责任，这就意味着维护安全的重担落到了云运算客户身上（如，企业），要他们来保证数据和应用软件的安全。

　　我和一位企业律师谈到过这个问题（请注意：我只是一个门外汉，这不是专业的法律建议，在做任何事的任何决定之前请咨询专业法律顾问），他的意思是如果有人因为数据攻破被起诉，那么原告要找的是最有钱的那一方。我向一个律师求证试图找到最简练有力的印证来明晰这一点，却一无所获。不过试试google一下“律师告的是有钱的那一个”你就会明白我在说什么了。在云运算领域，最有钱的通常是IaaS客户而非IaaS供货商。

　　目前为止我们还没看到IaaS相关的信息泄露。出现过Denial of Service (DDoS)分布式拒绝服务和数据丢失，但没有出现过敏感数据失窃。鉴于云运算相当有说服力的经济性和适应性，它将被引入应用软件，这些应用软件最终将包括敏感数据，因此敏感数据的攻破也只是一个时间问题。当因为信息攻破而惹祸上身时，找律师去敲企业的门，而不是IaaS资料中心的门。

　　企业依靠IaaS供货商安全或安全管理服务供货商（MSSPs）来卸下自己一方维护安全的责任，但如果出了错，数据的拥有者却是要对此负责任的人。

　　当在云运算里使用涉及安全信息的应用软件时你怎样降低风险？当考虑在云运算使用这些应用程序时，给你的应用软件开发人员的“安全”答案可以是“是的，在公共云（IaaS）里使用，只要你采取了以下步骤……”，而不是条件反射的一个“不”。这些“是的步骤”涉及到在IaaS外围里面保护个人主机。这项保护包括基于主机的技术，即提供为IDP/IDS提供深度包检测和防火墙以及文档完整性检查和log侦测（像OSSEC）的这些功能。