2011年對于云計算來說,,將是突破的一年,因為業(yè)界預期今年將會有不少企業(yè)從觀望轉(zhuǎn)向真正采用該技術,。
預計未來12個月中,,將有越來越多的企業(yè)采用云技術,其中涉及到的包括架構即服務(IaaS),,平臺即服務(PaaS),,軟件即服務(SaaS)以及私有云。
然而,,在云計算安全性方面,,大家頭上都懸著個問號。云計算將企業(yè)數(shù)據(jù)存放在企業(yè)防火墻外的數(shù)據(jù)中心,,并通過互聯(lián)網(wǎng)進行訪問的概念,,確實讓很多企業(yè)都覺得不靠譜。
雖然對于任何企業(yè)技術項目來說,,安全性都是需要考慮的,,但由于在云技術中,數(shù)據(jù)的移動,,存儲和訪問都與以往有所不同,,因此它的安全性問題就顯得比別的技術項目更重要了。
企業(yè)應該對云計算安全性擔憂嗎,?
與傳統(tǒng)技術項目相比,,云計算確實引出了一系列新的安全問題,但是從專家角度看,,云計算實際上要比傳統(tǒng)技術項目更具安全性,。
Ovum 首席分析師Graham Titterington認為,云計算供應商對于數(shù)據(jù)安全的重視程度遠高于普通企業(yè)的內(nèi)網(wǎng)安全管理人員,。
專家認為,,企業(yè)不應等到所有安全問題都得到完善解決后再采用云計算
Titterington 說:“大多數(shù)企業(yè)內(nèi)部安全技術人員都無法像云服務供應商那樣提供優(yōu)質(zhì)的安全服務,云服務供應商不但具有專業(yè)的安全水平,,而且具有一定的信譽,,這在行業(yè)中非常重要。因此一旦某個服務商出現(xiàn)了安全問題,,那么該服務商的業(yè)務將遭受毀滅性的打擊,,尤其是目前這種大部分企業(yè)都在觀望的時期。”
他又補充說:“對于目前大約95%的企業(yè)來說,,采用云服務所實現(xiàn)的安全性要比他們自己在企業(yè)內(nèi)部搞的安全系統(tǒng)更加可靠,。黑客們?nèi)肭制髽I(yè)內(nèi)部服務器的難度要遠低于入侵云服務環(huán)境中的服務器。”
Quocirca 公司經(jīng)理 Bob Tarzey表示,,在企業(yè)防火墻內(nèi)部建立一個私有云架構,,并不會帶來什么額外的安全隱患,而僅有的安全問題可能是關于虛擬機的,,但這方面的問題大部分早就已經(jīng)得到解決了,。
Tarzey同意 Titterington 的觀點,他也認為專業(yè)的云服務提供商所實現(xiàn)的安全性要高于普通企業(yè)自己的安全系統(tǒng),,他說:“企業(yè)很容易忽略的一個問題就是,,云服務供應商所使用的架構是最先進的,位于高級的數(shù)據(jù)中心,,這遠比企業(yè)在自己的內(nèi)部網(wǎng)絡搭建的安全系統(tǒng)要安全的多,,更能滿足企業(yè)對業(yè)務連續(xù)性的需求。”
Field Fisher Waterhouse 律師事務所的總經(jīng)理 Eduardo Ustaran 同樣認為云計算所涉及的數(shù)據(jù)安全問題不會比將企業(yè)IT服務外包出去所面臨的安全風險更大,。
由于云計算是將數(shù)據(jù)備份在不同的位置,,因此會比傳統(tǒng)方式有更大的安全性。
Ustaran 表示,,從客戶的角度看,,這樣會感覺更容易失去對數(shù)據(jù)的控制,他說:“面對潛在客戶,,云服務供應商必須非常小心面對這一問題,,讓客戶明白供應商所提供的安全性遠非他們之前所想象的那樣。”
雖然云服務供應商能夠?qū)崿F(xiàn)高等級的安全性,,但是企業(yè)在向云服務邁進之前,,仍然需要注意一些問題,從而盡可能安全的實現(xiàn)云計算,。
數(shù)據(jù)的移動
傳統(tǒng)的企業(yè)內(nèi)部計算與云計算的不同之處在于,,后者需要通過互聯(lián)網(wǎng)將數(shù)據(jù)在云供應商和客戶間進行傳送,而一些企業(yè)認為這個過程有可能出現(xiàn)安全隱患,。
實際上,,如今的網(wǎng)絡技術已經(jīng)能夠讓企業(yè)在互聯(lián)網(wǎng)上傳輸數(shù)據(jù)時確保數(shù)據(jù)安全,不被惡意份子監(jiān)控和截獲了,。
Ustaran 在回答ZDNet 記者采訪時表示:“如今的網(wǎng)絡已經(jīng)越來越安全了,,與以往開放式的網(wǎng)絡相比,現(xiàn)在通過網(wǎng)絡傳送數(shù)據(jù)的安全性很高,。”
Ovum公司的Titterington 補充說:“ SSL- 和 VPN-類型的技術可以很好的在公眾網(wǎng)絡上進行數(shù)據(jù)安全傳輸,。”
對數(shù)據(jù)進行加密,是數(shù)據(jù)在客戶和服務供應商之間傳遞時提升安全性的另一種方法,。這意味著數(shù)據(jù)無論是在企業(yè)內(nèi)部還是在向云服務環(huán)境移動過程中,,或者存儲在云服務環(huán)境,都是安全的,。
云架構的物理位置
數(shù)據(jù)的物理移動和存儲也是有嚴格的法律要求的,,因此在討論云計算時,,這一點不能忽略。
比如,,在歐洲,,個人數(shù)據(jù)只能被出口轉(zhuǎn)移到其它歐盟國家,比如簽署有安全港協(xié)議的美國,。
如果云服務供應商將企業(yè)的數(shù)據(jù)備份在兩臺位于不同位置(一般不是在美國,,或者在不同的國家)的服務器上,企業(yè)可能就會擔心數(shù)據(jù)最終是否會丟失,。
這種擔憂雖然不無道理,,但是可以通過與服務供應商的談判得到解決。
Field Fisher Waterhouse 的Ustaran 表示:“不論數(shù)據(jù)存在世界哪個角落,,只要具備良好的安全性,,地理位置就不應該成為什么問題。”
Titterington認為,,企業(yè)應該確定他們的數(shù)據(jù)被保存在無安全港協(xié)議地區(qū)的可能性,。他說:“企業(yè)能否從供應商那里得到所需的保證?供應商是否擁有類似的安全港協(xié)議,,或者正在與那些地區(qū)簽署類似協(xié)議,?”
一旦企業(yè)很高興的看到供應商能夠提供相應材料,他們就會很樂意的簽署相關的云服務協(xié)議,,因為他們知道自己的數(shù)據(jù)在遷移時能得到保證,。
Titterington 認為,如果數(shù)據(jù)在傳輸和存儲過程中都經(jīng)過加密,,那么就不用擔心其存儲在第三方數(shù)據(jù)中心的安全性問題了,。如果除了企業(yè)自己,其它機構和個人都無法解讀數(shù)據(jù)內(nèi)容,,那么數(shù)據(jù)移動也就沒有太多的安全性要求了,。
使用訪問控制和加密技術是云服務確保信息安全的關鍵
運供應商知道企業(yè)擔憂數(shù)據(jù)存儲的地理位置問題,以及相應數(shù)據(jù)的安全新問題,,因此在主要市場通過更多的開設云數(shù)據(jù)中心的方式來解除企業(yè)顧慮,。
確保存儲在云環(huán)境的信息安全
一旦數(shù)據(jù)到達了云平臺的存儲位置,就開始進行下一步數(shù)據(jù)安全措施了,。Titterington說:“一般來說,,實際的傳輸階段是擔憂最少的階段,這時用戶所關注的是數(shù)據(jù)到達后會被如何存儲,。”
Titterington 認為,,對于云技術來說,訪問控制技術的運用是至關重要的,他說:“訪問控制必須被重視,。云服務的大門永遠是面向互聯(lián)網(wǎng)的,,不論采用的是軟件即服務(SaaS),平臺即服務(PaaS)還是架構即服務(IaaS)模式,。在開放環(huán)境和企業(yè)數(shù)據(jù)之間只有訪問控制機制在起作用,。”
Ovum 建議機構將訪問控制集成進他們自己的云服務中,這樣內(nèi)部和外部的身份認證和登錄系統(tǒng)將同步進行,,減小了出現(xiàn)安全風險的機會。
企業(yè)同樣需要確保他們能夠得到最新的數(shù)據(jù)訪問記錄,。這個策略意味著,,一旦用戶離開辦公環(huán)境,他們的接入權限馬上會被收回,,這樣他們就不能從辦公地點以外的非授權系統(tǒng)訪問云服務,。
和數(shù)據(jù)傳輸過程一樣,數(shù)據(jù)存儲時同樣需要進行數(shù)據(jù)加密,,以提高信息的安全性,。
Ovum的 Titterington 表示,有些加密技術允許企業(yè)將數(shù)據(jù)加密所使用的密鑰保留在云環(huán)境中,,這樣,,只有具有完全控制權限的人才能夠在虛擬機中查看解密的信息。
Titterington 說:“目前已經(jīng)有針對云環(huán)境的數(shù)據(jù)加密技術了,,企業(yè)都應該考慮使用,。”
企業(yè)所考慮的另一個有關云環(huán)境下數(shù)據(jù)存儲的問題是,有可能與自己的數(shù)據(jù)存儲在相近空間,,或者存儲在緊鄰的虛擬機中的,,就是競爭對手的數(shù)據(jù)。
而分析人士表示,,數(shù)據(jù)混雜存儲甚至被錯誤的用戶訪問的情況基本不會發(fā)生,。
Field Fisher Waterhouse的 Ustaran表示:“我還從沒見過那個服務提供商會將不同客戶的數(shù)據(jù)混雜在一起,并被錯誤的客戶訪問,。”
Titterington 也補充說:“對于絕大多數(shù)機構來說,,他們建立云架構時使用的技術和架構就是用來防止出現(xiàn)數(shù)據(jù)交叉感染的。”
符合監(jiān)管的云
在考慮采用云服務時,,企業(yè)首先要考慮的是自己的哪個業(yè)務流最適合采用云服務,,并牢記符合監(jiān)管部門的規(guī)章制度,如Sarbanes-Oxley法案,。比如,,財務信息一般被看做不適用于云計算,因為與其它方面的信息來說,有太多的監(jiān)管制度圍繞著財務信息,。
Titterington認為,,云服務供應商正好趁這個機會更詳細的介紹他們的安全方案,因為客戶提供的其它信息并沒有那么嚴格的監(jiān)管要求,。
他說:“對于那些需要非常詳細而嚴格審批報表的企業(yè),,供應商是很難拿出有關云服務的正規(guī)的符合審查要求的文書的。因此,,作為云服務供應商,,你對于這類企業(yè)的吸引力是很有限的。”
Quocirca的 Longbottom 表示,,企業(yè)都需要根據(jù)規(guī)章和監(jiān)管要求對自己的數(shù)據(jù)進行分類,。數(shù)據(jù)的類型可以包括公開,商業(yè),,保密,,以及機密。
之后就可以針對不同的信息制定策略了,,比如哪類數(shù)據(jù)可以分布存放,,是否可以被打印出來。在云計算方面,,企業(yè)需要云服務提供商能夠支持這種數(shù)據(jù)分類方式和對應的策略,。
Longbottom 說:“由于不受網(wǎng)絡,平臺或設備的限制,,這種數(shù)據(jù)分類方法可以很好的適應云計算環(huán)境,。”
Field Fisher Waterhouse的 Ustaran 認為,云服務供應商可以選擇將歐洲數(shù)據(jù)保護條例作為他們的服務標準提供給客戶,,這樣客戶在與供應商洽談前就知道他們的數(shù)據(jù)將會符合監(jiān)管要求,。
他補充說,企業(yè)和供應商需要找到一個既能滿足數(shù)據(jù)安全和監(jiān)管要求,,又能實現(xiàn)足夠的靈活性的平衡點,。供應商將根據(jù)這個平衡點提供相應的服務。
Ustaran 表示:“合同應該注重現(xiàn)實,,而不是設立過多的法律條款,,這樣供應商將受到太多限制而無法為用戶提供所需的服務。”
企業(yè)應考察供應商是否能夠提供數(shù)據(jù)核查和從系統(tǒng)中移除數(shù)據(jù)的方法
從云中取回數(shù)據(jù)
企業(yè)面對云計算時需要考慮的最后一方面內(nèi)容是,,如果以后決定更換云服務供應商,,那么該如何從前一個供應商那里把自己的數(shù)據(jù)取回來。
Quocirca的 Tarzey 認為,,企業(yè)要考慮的關于云計算的幾件大事之一,,就是企業(yè)數(shù)據(jù)在未來的情況,。
企業(yè)應該考慮他們?nèi)绾螌?shù)據(jù)從云架構中取回,并確保所有數(shù)據(jù)備份都從供應商的服務器中刪除了,。
Titterington 表示:“如果你不能簡單方便的將你的數(shù)據(jù)取回來,,那么你就算是跟這個服務商綁定在一起了,不論他怎么樣你都離不開了,。這是任何企業(yè)都不愿意見到的,。”
因此企業(yè)在選擇云服務供應商時一定要將這個問題提出來,他說:“提出所有恰當?shù)膯栴},,并將所有的服務承諾列在合同中,。”
網(wǎng)絡的最后一公里
當然,這些考慮都是必須的,,但是是不是我們對于這些外部因素關注的太過分了,?CIO們是不是過多的擔心按需問題,而忽略了他們的管理問題,,以及所謂的網(wǎng)絡最后一公里的問題?
IT 領導者們可以花費時間和金錢來與供應商建立強大的合作關系,,以達到緊密的信息安全和數(shù)據(jù)訪問需求,。但是任何來自外部的合作,以及根據(jù)需求所使用的外部技術,,都要在內(nèi)部架構支持的前提下才能發(fā)揮應有的價值,。
看上去 CIO們面對云技術時更關心外部問題,而不是內(nèi)部架構的支持問題
其實云計算最關鍵的是網(wǎng)絡連接,。如果你的公司整體遷移到云計算平臺,,那么所有員工都需要確保所使用的程序以及信息都是可訪問的。因此,,網(wǎng)絡的最后一公里,,才是云計算普遍應用的關鍵。
高速寬帶接入點是關鍵
支持這一觀點的Quest Software CTO Joe Baguley認為,,如果沒有高速寬帶接入,,任何對于云計算的嘗試都會失敗。因此,,這個寬帶接入點將成為云計算的關鍵點,。他說:“我們?nèi)匀粵]有像樣的隨時隨地的互聯(lián)網(wǎng)寬帶接入能力,因此仍然要考慮離線狀態(tài)的企業(yè)運作,。”
這是一個盲點,。在有關云計算的討論會議上坐兩個小時,你可能聽不到一句有關于此的討論,,卻能明顯的感覺到所有CIO都在關注外部的問題,,比如信息安全和法規(guī)遵從性,。這種忽視的狀態(tài)必須被糾正。
Baguley 認為:“從企業(yè)的角度,,如果你將企業(yè)應用遷移到外部云服務平臺,,那么你勢必將所有辦公應用連接到互聯(lián)網(wǎng),這樣一來,,原先大量在內(nèi)網(wǎng)傳輸?shù)臄?shù)據(jù)就不得不穿過防火墻,,進入運供應商那里。”
一旦在網(wǎng)絡上出現(xiàn)任何有關云計算的相關問題,,那些做好了完全準備的CIO們在采取任何手段應對風險時,,所依賴的就只是這一小段穩(wěn)定而高速的網(wǎng)絡了。
云風險和企業(yè)需求
工程咨詢公司Hurleypalmerflatt的CTO Robert Thorogood,表示,,IT經(jīng)理必須考慮到企業(yè)需求和風險相關成本之間的關系,。他說:“問題總是集中在如果硬件或軟件出現(xiàn)故障,企業(yè)會受到什么影響上,。”
“不同的企業(yè)能承受不同程度的風險,。對于財務公司來說,丟失訂單(不論是何種原因)之類的潛在風險是非常大的,。任何CIO都必須明白,,對業(yè)務失去控制意味著什么。”
只有明白這個風險,,CIO們才能開始認真對待云技術,。雖然這項技術仍然處于起步階段,但是按需計算能夠用高效率的方式將員工與信息連接起來,。對于Star Technology Services的前任CEO John Adey來說,,處理網(wǎng)絡最后一公里的問題其實就是創(chuàng)造一種平衡。
他認為:“最大的機會位于希望永久在線與提供所需能力之間的平衡點上,。云技術是令人興奮的,。它讓IT變得更加有活力,也讓人們對于IT的未來更加充滿希望,。”
雖然宣傳的很火熱,,但是我們還是要回到現(xiàn)實。研究機構 Gartner建議廣大CIO在2011年將云技術作為首要技術熱點,,但同時該機構也認為企業(yè)目前對于按需供給的技術都還處于嘗試階段,。
云普及率較低
僅有3%的企業(yè) CIO將他們大部分的IT架構遷移到了云服務平臺或采用軟件即服務(SaaS)技術。而盡管未來幾年里,,按需技術將有長足發(fā)展,,我們可能仍然很難見到服務的大范圍應用,以及網(wǎng)絡最后一公里問題被解決,。
Bird & Bird 貿(mào)易部法務官Barry Jennings認為,,企業(yè)向云技術轉(zhuǎn)換,,需要有關鍵的供應商獲得企業(yè)的信任,企業(yè)才能將控制權交予供應商,。這其中需要解決很多關鍵性的問題,。
“按需服務何時才能真正應用?它是否適合企業(yè)關鍵信息和系統(tǒng),?比如政府希望知道,,如果通過云技術降低成本,是否會帶來太多的風險,。對于云技術,,潛在的用戶很多,但是做到按需服務還需時日,。”
Westminster City Council的CIO和IT經(jīng)理David Wilde 對此作了總結,,即知道按需服務在IT行業(yè)普遍實施,云計算的時代才真正開始,。
他表示,,對于信息的關注是清晰和容易理解的。而目前改變的,,正如Gartner所發(fā)現(xiàn)的,,是企業(yè)真正想購買和使用云服務,但是供應商還沒準備好,。
云計算潛在的業(yè)務準備和深入服務
Wilde 說:“你要么選擇公眾云,同時別去擔心你的數(shù)據(jù)被保存在了哪里,,或者你可以購買自己的私有云,,當然費用很昂貴,還需要系統(tǒng)集成,。市場需要通過云平臺提供完善的業(yè)務準備和深入的管理服務,,這是企業(yè)服務買家所需要的。”
但是隨著未來幾年云計算將爆發(fā)式發(fā)展的宣傳,, KPMG 顧問Steve Salmon 也表示,,企業(yè)CIO們必須考慮企業(yè)內(nèi)部和外部的環(huán)境,看是否能夠與云供應商形成合適的伙伴關系,,同時網(wǎng)絡最后一公里的問題也至關重要,。
他說:“你已經(jīng)購買了一個彈性云服務,具有按需服務能力,,并且具有擴展性,,但是你的網(wǎng)絡連接能夠支持這種服務模式嗎?企業(yè)在考慮云服務時,,需要看看自己是否擁有靈活的網(wǎng)絡接入能力,,讓他們有能力充分發(fā)揮按需服務的特色,,從而真正降低運營成本。”
根據(jù)企業(yè)現(xiàn)有的接入狀況,, Salmon認為大部分企業(yè)都需要更新接入連接,,而這需要6-9個月時間。他說:“隨著越來越多的服務遷移到云環(huán)境,,企業(yè)應該注意他們的內(nèi)部網(wǎng)絡,,確保內(nèi)部網(wǎng)絡能夠提供富媒體內(nèi)容,滿足高質(zhì)量服務的需求,。”