3.2.6.2 安全管理缺失
云计算服务安全管理的范围将随着服务交付模式、提供商能力和成熟度的变化而变化。用户必须在灵活性与服务提供商提供的控制这两者之间进行权衡。服务的灵活性越强,用户在服务中实施的控制就越多,同时也带来更多额外的安全管理责任。
目前,用户主要依靠云服务提供商的安全服务来测量和管理云计算中服务的安全性和可用性。但不幸的是,云服务提供商往往对标准的支持不足,在虚拟环境中监控功能也比较弱,从而增加了云计算服务管理的难度。
对于大型用户,特别是成熟的企业用户来说,主要的安全威胁就是管理复杂系统与安全风险。当企业用传统的方式管理本地系统,其往往倾向于分解基本组织部分,如网络、防火墙、存储结构、计算服务器、灾难恢复等,并识别每部分的风险大小和类型。这种对基础设施的分析方式总体上具有很大的透明度。但是,当企业转向云计算时,分析的复杂事物和安全风险等因素的职能将交给云服务提供商,这对透明度来说具有一定的潜在影响,同时也将影响企业复杂事物和风险管理的总体策略。企业已有的系统化解决方案可能无法延伸至云服务提供商。由于大多数云服务提供商的企业级访问管理功能缺失,在服务水平协议、提供商管理功能、安全责任等领域缺乏透明度,即使企业有能力在基础设施层安装系统可使用的检测探针,但受到资源瓶颈的限制也可能无法为企业提供深入分析所必要的信息,因此企业的云计算管理功能将是个持续的挑战。