也許有一天,云安全廠商和云服務供應商將說服企業的CIO們,可以放心將企業安全敏感數據和重要程序從私有云搬家到公有云平臺,但不幸的是,這一天還遠沒有到來。
筆者專訪的信息安全從業者、顧問和分析師表示,云安全廠商和云服務供應商在企業信息化應用方面,還有很長的路要走,在公共和私有云混合部署前,他們需要為企業客戶提供一個便捷、安全的公共云空間。
公共云安全問題已經成為全球企業信息化轉型的關鍵
關于企業IT部門將非敏感數據存儲放入公有SaaS平臺的問題,業界人士表示,如果放入類似Salesforce公司這種可信實體的話,大約要耗時六個月到兩年不等。
因此,企業對安全問題的思考,毫不猶豫地附加在公有云平臺上。什么成為了阻礙公共云發展的關鍵?針對IT專業人士進行的一項云計算跟蹤民意調查顯示,有如下四項重點:
如何確保多租戶通過虛擬網絡通信渠道使用的安全;
移動互聯時代如何保證用戶通過移動終端使用公有云的安全性;
是否有成熟的擴展現有身份認證和訪問控制機制,在企業用戶使用公有云過程中,提供相對一致的路徑;
當數據需要修改時,如何信任的加密和標記化模型,以充分保護敏感數據存儲在公共云的安全。
這些潛在的安全問題,構成了一場云時代企業信息化的技術辯論。安全方面的技術問題是復雜事實,公共云提供商卻是出了名的演說家,他們不愿提供其基本安全實踐的標準和案例。對于一家企業用戶而言,云服務提供商需要有保密等基礎服務,這對于用戶審計及規定的巡查是極其必要的。
同時,所有受訪者均表示,對從事公有云安全服務的企業表示有信心,根據目前云安全企業在私有云的占有力度,公有云平臺預計也將達到一定水平。
成長的煩惱
布勞恩瓦卡數字媒體公司(Waka Digital Media)總裁兼首席運營官雅各布.博朗(Jacob .Braun)表示,該公司正在從事公有云的托管安全服務及顧問咨詢工作,相比之前的起步階段,目前他們在美國一些地區已經得到了發展。
“公有云就像一個天才少年搬到新的社區群體中,他的與眾不同讓別人看起來不可思議,人們因為這種好奇而感興趣,進而關注并預測其未來發展。給他多一點時間,大部分人都會了解天才的知名度。” 博朗說。分析師、顧問和客戶也談到,他們從這些廠商中,正在尋找公有云安全的破題之道。
前思杰公司CTO和創始人西蒙.克羅斯比(Simon.Crosby)也表示,在使用虛擬化產品方面,他們開始尋求建立安全的移動客戶端。“今天修建的公共云結構實際可以承受比任何私人網絡都嚴重的攻擊。”西蒙.克羅斯比說。
但根據云安全研究機構調查,IDC安全產品項目用戶卻不看好這一點。當被問及是否認為云供應商的架構可以比自己的私有云安全時,只有三分之一的受調查者表示認同。然而,那些已經部署好公有云和混合云的企業用戶,卻有一半以上一致認為,供應商提供的服務比他們各自的IT團隊安全。
EMC公司虛擬云咨詢服務經理理查德.里斯(Richard Rees)談到,有一些企業的業務工作負載,可以大大提高他們推到公共云的安全態勢。例如,在IDC的調查中,受訪的250家中小企業中,有30%在云平臺使用了最流行的信息安全軟件。里斯說:“在公有云中,IT安全管理員可以更加快速便捷的了解數字簽名、公共/私人密鑰加密、安全電子郵件等安全參數,這種高水平的保護方式,是以前所不能達到的。”
云安全的落地思考
公共云業務模型的關鍵在于對動態的環境,它可以承載許多不同的工作任務,可以隨意移動和優化底層的基礎設施。用戶要確保有關信息控制的到位,以保護他們的數據免受攻擊,并希望通過查看有關控件的信息,形成一個非常精細的安全管理系統。
ISACA 2011年的調查顯示,45%的人認為云計算的風險多于其有益一面
但這種詳細程度往往是大多數公共云提供商商業模式范圍之外的。公共云提供商對安全實施細節守口如瓶。他們不想透露安全的做法,以避免暴露其競爭優勢;另外,他們不希望將安全風險暴露在媒體的聚光燈下。
因此,一個管理妥當和配置合格的公共云應用程序能夠達到很好的安全性。安全已經成為云計算在企業信息化發展中的關注重點。安全也一直被說成是私有云固有的好處和公有云的基本缺陷。實際上,事實比這些情況暗示的還要模糊不清。斷言公共云環境有企業信息安全的缺陷,不認真考慮如何緩解這些不安全因素,似乎是不負責任的。
公有云安全從來都不是一個非黑即白的簡單問題,尋找公有云安全的破題之道,落地的做法是詢問必須采取什么行動才能實現在時間、預算的條件下,盡可能保證應用程序在公有云平臺環境中實現安全運行的目標。
京公網安備 11010502049343號