在數(shù)據(jù)庫安全供應(yīng)商GreenSQL舉辦的兩次云安全研討會上，對387名與會者的調(diào)查發(fā)現(xiàn)，80%的受訪者對于將數(shù)據(jù)遷移到云端時可能出現(xiàn)的安全問題、合規(guī)問題以及失去控制權(quán)的問題感到非常焦慮。

　　缺乏信任的云計算

　　GreenSQL調(diào)查主要集中在一個主要問題：“當你將數(shù)據(jù)庫轉(zhuǎn)移到云端時，你主要擔心什么安全問題？”三分之一的受訪者表示，他們根本不相信目前云數(shù)據(jù)存儲服務(wù)提供的安全水平，他們的理由是，轉(zhuǎn)移到云端意味著要完全信任服務(wù)供應(yīng)商能夠在龐大網(wǎng)絡(luò)平臺保持分割，而這個平臺可以由多個客戶端同時訪問。

　　“如果你的企業(yè)系統(tǒng)將由另一家你不知道的公司來使用，并且，你不知道他們使用你的硬件的目的，你還會將安全放在第二位嗎？”GreenSQL首席技術(shù)官David Maman感慨道，“痛苦的事實是，作為云客戶，大多數(shù)時候你需要與其他人共享硬件和網(wǎng)絡(luò)，這意味著安全必須擺在第一位。”

　　該調(diào)查發(fā)現(xiàn)，22%的受訪者對數(shù)據(jù)庫放在云環(huán)境中后失去對其敏感數(shù)據(jù)的直接控制感到不安，這也說明了云存儲供應(yīng)商所面臨的挑戰(zhàn)。

　　Maman表示：“你的企業(yè)的核心是你存儲的信息：客戶數(shù)據(jù)和企業(yè)的財務(wù)信息。大部分時候，這些信息被存儲在數(shù)據(jù)庫內(nèi)。如果說，這些信息是你的企業(yè)的真正貨幣，那么，數(shù)據(jù)庫就是存儲這些貨幣的保險箱。因此，你必須確保云服務(wù)供應(yīng)商使用了所有可能的安全保護措施。”

　　Maman同時指出，雖然云服務(wù)供應(yīng)商在管理和監(jiān)控你的數(shù)據(jù)，但保護云中的數(shù)據(jù)庫的安全性并不是僅僅是云服務(wù)供應(yīng)商的責任。企業(yè)必須采取積極的態(tài)度，通過監(jiān)控來保護敏感數(shù)據(jù)，并通過對訪問控制制定有效的政策和程序來確保數(shù)據(jù)的安全性。

　　“當你安裝自己的數(shù)據(jù)庫應(yīng)用或者使用數(shù)據(jù)庫即服務(wù)（例如微軟SQL Azure），你必須控制你的信息，這意味著啟用數(shù)據(jù)庫防火墻，”Maman表示，“你必須執(zhí)行職責分離，數(shù)據(jù)庫活動監(jiān)控，同時，你還必須掩飾敏感信息。”

　　困擾云服務(wù)行業(yè)的另一個問題是數(shù)據(jù)備份機制，以及存儲在云中的信息究竟如何避免濫用或丟失的問題。企業(yè)真的能夠確保數(shù)據(jù)備份被存儲在單獨的磁帶或者專門為其指定的其他媒介設(shè)備嗎？

　　“讓我來幫你回答這個問題，并不是這樣，”Maman表示，“你的備份信息將與成千上萬的其他客戶的數(shù)據(jù)一起存儲在供應(yīng)商負擔得起的備份媒介上。當然，你永遠也不會知道誰能夠訪問這些信息，以及何時。”

　供應(yīng)商必須慢慢建立信任

　　惠普軟件高級安全策略師兼著名云安全專家Rafal Los表示，云數(shù)據(jù)存儲供應(yīng)商可以通過持續(xù)的保障措施來增加客戶對其服務(wù)的信任，例如主動安全監(jiān)測，定期發(fā)布安全狀態(tài)報告以及遵守可行的法規(guī)。

　　Los表示：“客戶不是要一份過時的合規(guī)報告，顯示你即時打補丁，或者數(shù)月之久的滲透測試結(jié)果，他們想知道你的環(huán)境現(xiàn)在是健康和安全的。系統(tǒng)安全與系統(tǒng)健康緊密聯(lián)系，這兩者必須與分析平臺整合，例如與惠普OpsAnalytics平臺—提供實時性能遙測分析和全面的日志分析，讓用戶能夠確定是否有現(xiàn)實世界無法檢測的攻擊，或者說找出‘未知攻擊’。”

　　安全保障意味著不只是合規(guī)性數(shù)據(jù)，它還意味著了解整個系統(tǒng)狀態(tài)。為了增加客戶的信任，供應(yīng)商不能只是聲稱他們是安全的，他們必須證明他們了解他們的動態(tài)環(huán)境，以及他們可以迅速對偏離正常工作模式的狀態(tài)作出響應(yīng)，以保護期客戶的數(shù)據(jù)及其服務(wù)的完整性。

　　客戶必須核查云服務(wù)供應(yīng)商

　　Los建議正在考慮轉(zhuǎn)移到云環(huán)境的企業(yè)核查其選擇的供應(yīng)商的所有能力，并確定他們的供應(yīng)商是否能為他們提供實時或者近實時的安全保障和合規(guī)性狀態(tài)。Los表示：“客戶將數(shù)據(jù)庫轉(zhuǎn)移到云中的一個關(guān)鍵因素是，他們不僅需要具有安全意識，而且需要知道經(jīng)過測試的安全性也可能失效，或者說也將失效，因為不存在絕對的安全保障。”

　　他建議客戶避免只是尋找提供“安全”服務(wù)的供應(yīng)商，而應(yīng)該尋找能夠展示可以有效可靠地檢測問題、迅速響應(yīng)問題以及恢復(fù)服務(wù)的供應(yīng)商，畢竟這是企業(yè)的業(yè)務(wù)功能的關(guān)鍵要素。Los說：“通過系統(tǒng)性能遙測及時發(fā)現(xiàn)異常情況，全面實時日志分析和高級安全組件，你的供應(yīng)商在發(fā)生故障或進行測試時，能更快地發(fā)現(xiàn)、響應(yīng)和恢復(fù)你的服務(wù)。作為一個客戶，不要只是尋找提供‘安全’的供應(yīng)商，要尋找知道如何發(fā)現(xiàn)、響應(yīng)和恢復(fù)關(guān)鍵服務(wù)的供應(yīng)商。”