如今，上云與否早已不是選擇題。在企業實現數字化轉型的過程中，云計算的重要性不言而喻。對于CIO來說，關鍵任務變成了找到適合的云服務商，并且根據自身業務特性逐步遷移到云端。不過隨著業務加速云化，一些企業的安全團隊卻仍然停留在原有的思維定式，忽視了對新業務部署時的風險控制，這種威脅不僅是在應用層，還有架構層。

　　安全要走在上云前面（圖片來自Healthcare IT Security）

今年以來，云應用和基礎架構層面的數據泄露事件已經發生多起，而且勒索病毒和其他各類惡意軟件的數量也在顯著增加。例如，Slack和CloudFlare發現的漏洞影響了數百萬用戶的私密信息，Verizon更是由于Amazon S3服務器的配置錯誤，泄露了1400多萬美國客戶的數據。拿Slack來說，這種移動化辦公的方式正在被越來越多的人所接受，團隊工作組可以通過應用實例跨組織快速切換，一旦遭受黑客攻擊就是大規模的權限丟失。至于Verizon，面臨的問題則是失去了對基礎設施的控制，可遠程設置的服務器上線是方便了，但安全協議卻不完善。

LinkedIn曾經做過一項調查：49%的CIO和企業認為，影響他們上云的主要原因是擔心數據的丟失和泄漏，59%的人認為，傳統的網絡安全工具在云端具有局限性。事實上，盡管當前各廠商在設計架構時更重視IaaS層的資源隔離，不過PaaS層和SaaS層仍儲存了大量的用戶數據。之所以出現這些問題，一方面是上云業務與原有IT架構的安全組件集成度不夠，另一方面也是企業客戶過于追求成本效益，忽視了安全因素。

為了讓安全性追上業務向云遷移的速度，云服務商和企業客戶需要從基礎實施、托管平臺、應用部署方面，圍繞政策法規、數據存儲、成本管理等流程構建一體化方案。在企業內部，涉及關鍵項目的所有成員要對云安全技術引起重視，而不是把責任推給單獨的安全部門。在企業外部，需要讓身份訪問、日志管理、事件響應滿足云時代的監管標準。

決策與規劃方面，企業開發和使用應用程序，以及后續的測試、質保環節都有可能遭到外部攻擊，基于物理服務器的IT資源虛擬化共享使得被黑往往是聯帶的，即使是專用服務器也難以保證絕對的安全性。一般來說，企業CIO要在采購前制定預制規則和應對策略，首先是收集業務需求結合數據的存儲及處理，讓IT部署適配云框架從而成為員工的操作規范。同時，企業的安全人員也要定期追蹤工作中產生的問題，與云服務商配合從底層消除風險。

數據遷移與存儲方面，首要關注的應該是數據丟失和災備，傳統的煙囪式架構在處理敏感數據時會有安全缺失，企業在初期選擇云服務商時才依據自身業務特性來制定具體的安全防護標準。此外，雖然云服務商通常會提供數據備份，但企業最好還是在本地有自己的保護措施，并且要監控訪問數據的ID，加密核心信息。當涉及到多云遷移的時候，各個云服務商可以提供統一的數據管理API，減少出現服務故障導致數據返回的工作量成本。

總體來說，云端數據遷移時先要打包整體的數據源，關注部分數據可能會導致最終處理時失真。其次，數據遷移的對象范圍和規模要給出預估，充分利用邊緣化的存儲。再者，自動化流程往往比人工干預要更有效率。涉及到具體的數據傳輸加密過程，可以結合客戶端/應用加密、鏈路/網絡加密、代理加密三種模式。其中，第一種是讓數據先加密再傳輸，第二種兼顧了硬件和軟件加密方案，第三種則是將加密機制整合到了應用程序中。

結語

企業部署云計算不是一蹴而就，初期部署一些輕量化業務上云測試是必要的。除了要選擇熟悉的云服務商，還要實時監控數據中心和云端業務的運行情況，并且在出現問題時迅速決定投入哪些資源來抵御攻擊。更重要的是，企業要在隱私和安全性之間找到平衡點，運用威脅檢測等算法辨別有效或無用的流量數據，只有這樣才能真正的用好云。