公有云,一個炙手可熱的詞匯,一個眾說紛紜的技術,一個尚未成熟的市場。這三個看似矛盾的現狀,源發于Google在技術領域的努力,開始于亞馬遜在市場領域的開拓,呈現于各大廠商的角力之中。
作為一種通過互聯網提供免費或成本低廉的信息服務模式,公有云從一開始就引發各方爭論。關于它的每個技術細節、業務運作及市場前景,各方立場的不同,導致各自對它的評判也是“公說公有理,婆說婆有理”,但核心問題,還是圍繞著“價格”和“安全”來展開。
公有云:價格or安全,誰是第一位?
對于一項新興技術來說,落地始終是實現價值的唯一途徑,公有云也不例外。在市場推進的過程中,隨著競爭角色的增多,多方之間的博弈也走向深入。在公有云這個領域,愈演愈烈的價格戰,其實只是市場競爭的表象。這背后隱藏的業務問題和市場心態,才是應該關注的重點。
在中國,公有云服務商之間的價格戰正打的如火如荼,亞馬遜、谷歌、IBM、阿里等這些云服務巨頭的服務正在變得比此前更加活躍,但商家們似乎普遍都沒有抓住最核心的問題。
對于一種產品或服務,價格只是代表了用戶成本的降低,并沒有觸及用戶需求的核心訴求。而安全相較于價格,則更為根本。安全代表了產品內含的未來風險,是公有云服務商進入市場的最大前提。有觀點認為,公有云的價格與安全之間兩者之間存在相關性,低價往往導致低質,低質必然引發故障頻發,故障頻發最終會導致安全無著,成為公有云發展的最大問題。
對于公有云的客戶和用戶來說,數據的安全性始終是其心中最重要的衡量標準。以往只存儲在自己電腦里、看得見摸得著的東西,現在通過公有的方式,在云端實現操作,誰都會考慮是否安全這個問題。在沒有云的時代,PC的數據安全問題導致的隱私外泄、財產損失事件已經屢見不鮮,各種“門”事件讓你我心中留下了傷痕,成為抹不去的刻板記憶。
在公有云服務出現后,市場接受度并不高、行業長遠發展也遇到阻礙,企業客戶或者終端用戶們最擔心的是,云服務商不斷地、“無節操”地降低價格,是否同時也保障了安全風控?如果沒有,這會否埋下一個“定時炸彈”?可見,即便在技術進化到云計算時代,安全問題依舊沒有得到完全的、通行的、標準化的解決,“安全”已成為公有云至今未得到市場普遍認可的首要阻礙。
公有云安全:是不是問題?
談到公有云的安全,支持的一方往往出于為產品宣傳做鋪墊,從技術實力對比出發,得出公有云其實更安全的結論,這其中的代表包括提供公有云服務的企業、力推公有云發展的行業部門等。
他們普遍表示,公有云往往由具備技術實力的大企業提供服務,他們提供了可靠、安全的數據中心,個人在安全方面的技術水平無法與其相比,就如同你將錢存在銀行其實比放在自己口袋里更安全一樣,讓更專業的人來幫你實現數據存儲或處理,將會具有更高安全系數。谷歌公有云項目GAE方面負責人Eran Feigenbaum就曾經表示,“公有云現在已經足夠安全讓企業可以用它來保存數據,而不會感到他們承擔了某些風險。”
對此,反對的一方并不認同。他們出于對使用方式的擔憂,以業務情景出發,得出公有云的安全性還有待加強的結論,這方面的代表主要有個人終端用戶、使用公有云服務的企業、部分行業專家等。
反對方的觀點是,公有云目前仍然沒有通行標準,各行其是的情況普遍存在,很多安全漏洞沒有引起行業層面的重視,數據盜用風險仍較大,用戶或企業不可能將大量數據放到公有云當中。
比較以上兩種主流觀點,可以發現,公有云在整個市場層面的接受度仍然有待商榷。這一情況產生的原因主要還是聚焦在安全上,要搬開這個攔路石,需要對公有云安全問題進行清晰梳理。
公有云安全的五個問題
公有云的安全問題,沿襲了互聯網安全的基因,又帶有業務層面的個性特征。目前,主要集中在以下五個方面:
——數據問題 通常情況下,數據價值越大、敏感性越強、開放程度越高,對由于公有云的開放程度較高,企業完全遷移公有云的數據價值大,業務層面的數據敏感性強,所以企業客戶對安全性和合規性的需求比較高。
但從現有技術水平來看,目前并沒有充分的方式來保證數據的安全,盡管亞馬遜、谷歌、微軟、華為、阿里等國內外云服務廠商也根據各自的客戶需求,進行了一些有針對的探索,但是并未形成統一的數據保護和加密機制。
——防護問題 目前,提供云服務的廠商,往往在安全防護方面的沒有直接的管控模塊,對于可能發生的攻擊,部分采取外包的形式交給第三方來提供基礎保障,造成云端的防護功能并不完全可控。安全防護工作,并不是一個“非此即彼”的問題,而是一個利益與質量之間的權衡和度量問題。
——標準問題 在公有云的各種產品中,并沒有一個可以互聯互通的一個標準化協議,廠商之間也只是與各自的合作伙伴進行內部開發。一旦出現需求變更、數據遷移、突發事件等狀況,用戶的業務銜接必將出現斷層,引發連鎖反應。
——透明問題 公有云服務商往往宣稱自己的服務如何全面、技術如何先進、流程設計如何科學,但是表面上的言辭并不能解決客戶心底的顧慮。由于商業方面的原因,服務商一般會回避自身的短板,如平臺遷移、災備方式、業務連續性等。公有云業務體系的不透明,成為市場進一步發育的障礙。
——規則問題 在用戶業務、文檔、數據生成的過程中,由于行業目前還沒有細化相關責任歸屬的法律文本,只是以出售固定信息產品的形式來確定權責,基于用戶具體業務操作過程中的安全責任問題,沒有過多闡述,給服務商提供了規避的機會。鑒于此,有人建議稱,云提供商應為客戶提供某種證書,以證明他們的云已經滿足了安全保存數據的法律和規則要求。
面對以上問題,在中國公有云市場上,提供云服務的企業們,不論是運營商主導的、互聯網巨頭打造的、部分原IDC運營商改進的,還是跨國公司由國外引入的,都一直未能得出通用的可落的安全性解決方案。為此,公有云企業客戶和終端用戶、行業研究專家都曾經為解決這些問題表示過呼吁。
值得注意的是,為提升信息技術產品的安全性和可控性。信息安全目前已上升到國家的戰略層面,作為互聯網的大腦,公有云安全方面的重要性也關乎到國家安全。在這樣的大環境下,無論是提升公有云服務安全水平、開展更有保證的落地推廣,還是促進行業健康發展方面,都將出現一個難得的躍遷契機。
總結
展望公有云的未來前景,我們需要有標準規范、需要有準入機制、需要有頂層推動,但所涉及的方面,不能僅是技術上的簡單融合,更重要的還有服務質量、市場規則方面的細化。不論如何,安全問題作為公有云市場必須解決的第一要務,需要首先得到關注。
京公網安備 11010502049343號