當很多企業正苦惱于是否向公有云投出信任一票時,有些企業卻已經開始從中受益匪淺。積極轉向公有云的企業并非不重視云安全的問題,只不過,他們已經感受到云計算的收益大過于相應的風險。
這些企業IT領導者和那些躑躇不前者的不同之處在于,他們對于自己IT團隊和所在企業的優勢和弱點有清醒的認識。在某些情況下,公有云方案可以提供更高的安全性,并且有助于災難恢復的實現。
美國高爾夫協會(USGA)就是一個典型的例子。盡管USGA是一個全國性的組織,但是總部卻不是在繁忙的都市。實際上,USGA的總部位于新澤西州名為Far Hills的一個小鎮—— 在其IT高級總監Jessica Carroll的嘴里,那就是一個偏荒之地。從IT的角度看,這種地理位置對于災難恢復來說是災難性的。但是,Carroll對云方案供應商的安全性非常滿意。
“我考察了他們(IBM)的環境,那是一個高度安全的地方。他們處理客戶數據的流程規范令人印象深刻。”Carroll說:“這些都是我親眼所見,正因為IBM所采取的措施和業界聲譽,我做出決定是非常容易的。”
Carroll向公有云的遷移并非是她第一次體驗云計算的安全和隱私性。在2006年USGA就采用了微軟的Live Meeting。通過訂閱費的形式,USGA可以實現按使用付費。“我不需要為保證隱私而費心,不需要構建災難恢復方案,也不需要擔心服務失效的問題。”Carroll說:“這種付費方式對我們非常適用,無須任何基礎架構方面的投入。而我對數據安全也非常放心,它們在正確的地方受到妥善的保管。”
云安全風險的差異性
在企業安全決策方面,Gartner公司分析師Jay Heiser提出了警告:不能盲目跟風,在邁向云計算的道路上必須頭腦清醒。
“任何客戶都不能毫不顧忌安全性方面的問題。”Heiser在一封郵件中說到:“這里面的問題很嚴重——基本上,沒有辦法能確定某個特定的外部服務商能夠提供足夠的安全性保證。”
“對于服務供應商的保證,我覺得不僅不準確,甚至有點負面——比如當他們拍著客戶肩膀說,‘不要白費力氣了,你是無法保護自己的,把東西都放到沒有我這來吧,我會替你管好一切的。’時”Heiser描述到。
云計算的顧慮
Larry Bolick是Aquent LLC(位于馬薩諸塞波士頓)的CIO,他在云計算協作方案方面具有成功的經驗,包括Google的Gmail和電話會議。但是,盡管對合同進行了嚴格地審查,安全性依然是Bolick的關注焦點。
“當談到云計算時,這理所當然是首先會想到的問題,因此,沒人能忽視云的安全性。”Bolick說。
然而,牢記歷史也是非常重要的。在不到15年前,托管其實就是當時的公有云形式。但是在資源共享這個卓越創意的背后,其安全性以今天的標準來說是令人難以接受的,比如公司的名字和IP地址在服務器上公開可見。類似的教訓不甚枚舉,而安全性也在不斷演進。
過去Google云存在的問題已經不再是前進道路上的障礙,相反應該將其視之為安全性方面的有益嘗試。Bolick認為對于安全問題關注并非出自于恐懼,他堅信云安全其實是聯系企業和廠商的紐帶。真正的挑戰在于變更管理以及企業和廠商在安全實踐方面的溝通協調。
“這并非全是廠商的問題,客戶也有一定的責任。”Bolick表示:“我們在云環境里所做的主要是在傳輸時保證數據的保密和完整準確,在自己的環境里,我們已經在確保基礎架構安全性方面費盡力氣。當然,盡管很多工作會落在客戶一端,但是讓廠商充分意識到我們面臨的安全挑戰是非常必要的。”
無論CIO的工作如何細致謹慎,仍然無法保證萬無一失。在特定的時刻,你不得不寄信任于你的廠商和自己做出的決定。Bolick用坐飛機的例子來進行類比:雖然你不認識飛行員或者機師,但是他們都有FAA(美國聯邦航空管理局)的認證,你必須且只能給予充分的信任。
“很擔心嗎?沒必要的,這只是一個瑕疵而已。如果因為疏忽而導致了安全和隱私方面的事故,云服務供應商就會感受到全面的連鎖反應。”Bolick說:“因此服務供應商將不得不盡力做到最好。從事安全性保障的工作人員盡管默默無聞,但是正因為他們的努力才使得一切都不脫離正軌。世上沒有100%的保證,你需要理智一點,畢竟有時候少許的風險并不是壞事。”(原文出處:http://www.searchcio.com.cn/showcontent_55383.htm?lg=t)
京公網安備 11010502049343號