最近，關(guān)于TikTok的報(bào)道鋪天蓋地。這是因?yàn)?，從?guó)會(huì)到學(xué)術(shù)界，從跨國(guó)公司到小企業(yè)，從董事會(huì)到臥室，這個(gè)頻道都因其劫持思想、情感和數(shù)據(jù)的潛力而引起了人們的注意。云計(jì)算不是更重要嗎?作為一種單一的資源，云不是可以存儲(chǔ)更多的數(shù)據(jù)，擁有更大的覆蓋范圍和影響力嗎?難道它不應(yīng)該得到同樣多的關(guān)注嗎?Archive360的聯(lián)合創(chuàng)始人兼首席技術(shù)官TibiPopp將對(duì)這些問題和相關(guān)問題進(jìn)行探討。

當(dāng)然，關(guān)注可能意味著更多的監(jiān)管，當(dāng)涉及到技術(shù)時(shí)，結(jié)果可能是喜憂參半的。在云安全的情況下，即使更多的立法是必要的，錯(cuò)誤的授權(quán)可能是有問題的。那么，正確的做法是什么呢?

互聯(lián)云的問題

監(jiān)管機(jī)構(gòu)已經(jīng)認(rèn)為，最大的云提供商在預(yù)防、緩解甚至標(biāo)記嚴(yán)重威脅方面做得還遠(yuǎn)遠(yuǎn)不夠。鑒于太陽(yáng)風(fēng)公司(SolarWinds)等備受矚目的違規(guī)事件層出不窮，這一點(diǎn)很難爭(zhēng)辯。這些監(jiān)管機(jī)構(gòu)還堅(jiān)持認(rèn)為，這些供應(yīng)商有資源來應(yīng)用補(bǔ)丁和其他修復(fù)程序;并非每個(gè)依賴云計(jì)算的公司都擁有相同的資源。

這就是為什么有這么多關(guān)于世界末日的討論:一個(gè)云的故障可能會(huì)導(dǎo)致整個(gè)基礎(chǔ)設(shè)施的崩潰，這些基礎(chǔ)設(shè)施支撐著現(xiàn)代生活的各個(gè)方面，從關(guān)鍵的醫(yī)療保健和國(guó)家安全到電子游戲等。這就是為什么拜登政府發(fā)起了可能是迄今為止最雄心勃勃的努力，迫使最大的巨頭——想想谷歌、微軟、亞馬遜和甲骨文——更好地保護(hù)私人和公共部門廣泛組織使用的服務(wù)器。

雖然還有其他法規(guī)懸而未決，但政府已經(jīng)重新推動(dòng)了上屆政府的一項(xiàng)行政命令，該命令要求云提供商和經(jīng)銷商采取并執(zhí)行嚴(yán)格的措施來驗(yàn)證每個(gè)客戶的身份。

平衡增長(zhǎng)與安全

明確的目標(biāo)是防止外國(guó)黑客在美國(guó)服務(wù)器上租用空間，并從這個(gè)有利位置造成破壞。在發(fā)生犯罪活動(dòng)的情況下，更好的記錄將使識(shí)別和起訴犯罪方更加容易。當(dāng)然，為了建立更好的保障措施，政府也承諾不會(huì)阻礙快速增長(zhǎng)。

這里最大的問題可能是云使用和云安全仍然相距甚遠(yuǎn)。例如，許多供應(yīng)商的商業(yè)模式要求收取附加費(fèi)以獲得更強(qiáng)的保護(hù)。此外，政府沒有專門為這一職能指定的機(jī)構(gòu)或資源。因此，即使是最具戰(zhàn)略性的措施，也不得不依賴于一系列不斷演變的政策、積極的執(zhí)法和技術(shù)建議，比如針對(duì)特定行業(yè)的建議。

重新思考基本原理

再一次，值得贊揚(yáng)的是:政府對(duì)云基礎(chǔ)設(shè)施安全的關(guān)注確實(shí)值得贊揚(yáng)。然而，指望政府提供所有的答案絕不是一個(gè)好主意。那么，我們錯(cuò)過了什么?如何才能找到更現(xiàn)實(shí)的方法?

我相信我們可以從重新思考基本原理開始。例如，許多這些善意的指令本質(zhì)上將技術(shù)本身視為最終目的——其目標(biāo)基本上是保護(hù)服務(wù)器群。與此同時(shí)，真正重要的是數(shù)據(jù)。

關(guān)注日期而不是硬件會(huì)帶來心態(tài)的改變。政府有理由擔(dān)心多米諾骨牌效應(yīng)——一臺(tái)服務(wù)器崩潰會(huì)導(dǎo)致系統(tǒng)故障——也有理由加大對(duì)云計(jì)算提供商的壓力，要求他們提高環(huán)境的安全性。這是至關(guān)重要的，但也嚴(yán)重不足。

從個(gè)人角度來說，云遷移就是把你的數(shù)據(jù)放到別人的電腦上。但這仍然是你的數(shù)據(jù)和你的責(zé)任。而且不只是你的貴重物品在那里——云可以存儲(chǔ)無窮無盡的數(shù)據(jù)，這使得它比你的小電腦更容易吸引黑客。通過這一切，提供商的客戶對(duì)云提供商的安全協(xié)議，或者其他客戶如何受到攻擊，或者正在使用哪些軟件包和物聯(lián)網(wǎng)設(shè)備以及引入漏洞等幾乎沒有可視性。

與云共護(hù)共榮

總結(jié):對(duì)于大多數(shù)組織來說，云計(jì)算仍然具有完美的商業(yè)意義。特別是對(duì)于政府機(jī)構(gòu)來說，這是擺脫傳統(tǒng)基礎(chǔ)設(shè)施(許多機(jī)構(gòu)顯然擁有傳統(tǒng)基礎(chǔ)設(shè)施)并從技術(shù)進(jìn)步中受益的完美方式，而無需進(jìn)行大量投資。然而，所有將數(shù)字資產(chǎn)轉(zhuǎn)移到云端的組織都必須繼續(xù)分擔(dān)保護(hù)自己數(shù)據(jù)的責(zé)任。將義務(wù)完全交給云提供商——這就是完全依賴的含義——是短視和不明智的。

當(dāng)然，企業(yè)為自己做的事情要多得多。最重要的是，有一些選項(xiàng)可用于部署具有高級(jí)別隔離的專用云租戶。這意味著沒有共享的網(wǎng)絡(luò)資源，沒有共享的秘密，并且增強(qiáng)了與客戶特定安排相匹配的安全性。再深入一點(diǎn)，用戶自己的技術(shù)可以確保高級(jí)加密，將特定數(shù)據(jù)元素分類為需要及時(shí)保留或處理的記錄，甚至標(biāo)記和隔離包含PII或其他敏感信息的數(shù)據(jù)。即使在最低級(jí)別，這也是最高質(zhì)量的保護(hù)，采用數(shù)據(jù)隱私指南，最佳實(shí)踐等。

再一次，云安全是政府關(guān)注的一個(gè)領(lǐng)域，并有理由提出全面的法規(guī)。各種規(guī)模的云提供商都可以而且應(yīng)該采取更多措施來保護(hù)客戶的資產(chǎn)。但是有很多責(zé)任要承擔(dān)——隨著現(xiàn)在技術(shù)和服務(wù)的可用性，遷移到云的組織將從更好地控制自己的安全中受益。