預(yù)計未來12個月中，將有越來越多的企業(yè)采用云技術(shù)，其中涉及到的包括架構(gòu)即服務(wù)（IaaS），平臺即服務(wù)（PaaS），軟件即服務(wù)（SaaS）以及私有云。

    然而，在云計算安全性方面，大家頭上都懸著個問號。云計算將企業(yè)數(shù)據(jù)存放在企業(yè)防火墻外的數(shù)據(jù)中心，并通過互聯(lián)網(wǎng)進(jìn)行訪問的概念，確實讓很多企業(yè)都覺得不靠譜。

    雖然對于任何企業(yè)技術(shù)項目來說，安全性都是需要考慮的，但由于在云技術(shù)中，數(shù)據(jù)的移動，存儲和訪問都與以往有所不同，因此它的安全性問題就顯得比別的技術(shù)項目更重要了。

    企業(yè)應(yīng)該對云計算安全性擔(dān)憂嗎？

    與傳統(tǒng)技術(shù)項目相比，云計算確實引出了一系列新的安全問題，但是從專家角度看，云計算實際上要比傳統(tǒng)技術(shù)項目更具安全性。

    Ovum 首席分析師Graham Titterington認(rèn)為，云計算供應(yīng)商對于數(shù)據(jù)安全的重視程度遠(yuǎn)高于普通企業(yè)的內(nèi)網(wǎng)安全管理人員。

    專家認(rèn)為，企業(yè)不應(yīng)等到所有安全問題都得到完善解決后再采用云計算

    Titterington 說：“大多數(shù)企業(yè)內(nèi)部安全技術(shù)人員都無法像云服務(wù)供應(yīng)商那樣提供優(yōu)質(zhì)的安全服務(wù)，云服務(wù)供應(yīng)商不但具有專業(yè)的安全水平，而且具有一定的信譽(yù)，這在行業(yè)中非常重要。因此一旦某個服務(wù)商出現(xiàn)了安全問題，那么該服務(wù)商的業(yè)務(wù)將遭受毀滅性的打擊，尤其是目前這種大部分企業(yè)都在觀望的時期。”

    他又補(bǔ)充說：“對于目前大約95%的企業(yè)來說，采用云服務(wù)所實現(xiàn)的安全性要比他們自己在企業(yè)內(nèi)部搞的安全系統(tǒng)更加可靠。黑客們?nèi)肭制髽I(yè)內(nèi)部服務(wù)器的難度要遠(yuǎn)低于入侵云服務(wù)環(huán)境中的服務(wù)器。”

    Quocirca 公司經(jīng)理 Bob Tarzey表示，在企業(yè)防火墻內(nèi)部建立一個私有云架構(gòu)，并不會帶來什么額外的安全隱患，而僅有的安全問題可能是關(guān)于虛擬機(jī)的，但這方面的問題大部分早就已經(jīng)得到解決了。

    Tarzey同意 Titterington 的觀點，他也認(rèn)為專業(yè)的云服務(wù)提供商所實現(xiàn)的安全性要高于普通企業(yè)自己的安全系統(tǒng)，他說：“企業(yè)很容易忽略的一個問題就是，云服務(wù)供應(yīng)商所使用的架構(gòu)是最先進(jìn)的，位于高級的數(shù)據(jù)中心，這遠(yuǎn)比企業(yè)在自己的內(nèi)部網(wǎng)絡(luò)搭建的安全系統(tǒng)要安全的多，更能滿足企業(yè)對業(yè)務(wù)連續(xù)性的需求。”

    Field Fisher Waterhouse 律師事務(wù)所的總經(jīng)理 Eduardo Ustaran 同樣認(rèn)為云計算所涉及的數(shù)據(jù)安全問題不會比將企業(yè)IT服務(wù)外包出去所面臨的安全風(fēng)險更大。

    由于云計算是將數(shù)據(jù)備份在不同的位置，因此會比傳統(tǒng)方式有更大的安全性。

    Ustaran 表示，從客戶的角度看，這樣會感覺更容易失去對數(shù)據(jù)的控制，他說：“面對潛在客戶，云服務(wù)供應(yīng)商必須非常小心面對這一問題，讓客戶明白供應(yīng)商所提供的安全性遠(yuǎn)非他們之前所想象的那樣。”

    雖然云服務(wù)供應(yīng)商能夠?qū)崿F(xiàn)高等級的安全性，但是企業(yè)在向云服務(wù)邁進(jìn)之前，仍然需要注意一些問題，從而盡可能安全的實現(xiàn)云計算。

    數(shù)據(jù)的移動

    傳統(tǒng)的企業(yè)內(nèi)部計算與云計算的不同之處在于，后者需要通過互聯(lián)網(wǎng)將數(shù)據(jù)在云供應(yīng)商和客戶間進(jìn)行傳送，而一些企業(yè)認(rèn)為這個過程有可能出現(xiàn)安全隱患。

    實際上，如今的網(wǎng)絡(luò)技術(shù)已經(jīng)能夠讓企業(yè)在互聯(lián)網(wǎng)上傳輸數(shù)據(jù)時確保數(shù)據(jù)安全，不被惡意份子監(jiān)控和截獲了。

    Ustaran 在回答ZDNet 記者采訪時表示：“如今的網(wǎng)絡(luò)已經(jīng)越來越安全了，與以往開放式的網(wǎng)絡(luò)相比，現(xiàn)在通過網(wǎng)絡(luò)傳送數(shù)據(jù)的安全性很高。”

    Ovum公司的Titterington 補(bǔ)充說：“ SSL- 和 VPN-類型的技術(shù)可以很好的在公眾網(wǎng)絡(luò)上進(jìn)行數(shù)據(jù)安全傳輸。”

    對數(shù)據(jù)進(jìn)行加密，是數(shù)據(jù)在客戶和服務(wù)供應(yīng)商之間傳遞時提升安全性的另一種方法。這意味著數(shù)據(jù)無論是在企業(yè)內(nèi)部還是在向云服務(wù)環(huán)境移動過程中，或者存儲在云服務(wù)環(huán)境，都是安全的。

    云架構(gòu)的物理位置

    數(shù)據(jù)的物理移動和存儲也是有嚴(yán)格的法律要求的，因此在討論云計算時，這一點不能忽略。

    比如，在歐洲，個人數(shù)據(jù)只能被出口轉(zhuǎn)移到其它歐盟國家，比如簽署有安全港協(xié)議的美國。

    如果云服務(wù)供應(yīng)商將企業(yè)的數(shù)據(jù)備份在兩臺位于不同位置（一般不是在美國，或者在不同的國家）的服務(wù)器上，企業(yè)可能就會擔(dān)心數(shù)據(jù)最終是否會丟失。

    這種擔(dān)憂雖然不無道理，但是可以通過與服務(wù)供應(yīng)商的談判得到解決。

    Field Fisher Waterhouse 的Ustaran 表示：“不論數(shù)據(jù)存在世界哪個角落，只要具備良好的安全性，地理位置就不應(yīng)該成為什么問題。”

    Titterington認(rèn)為，企業(yè)應(yīng)該確定他們的數(shù)據(jù)被保存在無安全港協(xié)議地區(qū)的可能性。他說：“企業(yè)能否從供應(yīng)商那里得到所需的保證？供應(yīng)商是否擁有類似的安全港協(xié)議，或者正在與那些地區(qū)簽署類似協(xié)議？”

    一旦企業(yè)很高興的看到供應(yīng)商能夠提供相應(yīng)材料，他們就會很樂意的簽署相關(guān)的云服務(wù)協(xié)議，因為他們知道自己的數(shù)據(jù)在遷移時能得到保證。

    Titterington 認(rèn)為，如果數(shù)據(jù)在傳輸和存儲過程中都經(jīng)過加密，那么就不用擔(dān)心其存儲在第三方數(shù)據(jù)中心的安全性問題了。如果除了企業(yè)自己，其它機(jī)構(gòu)和個人都無法解讀數(shù)據(jù)內(nèi)容，那么數(shù)據(jù)移動也就沒有太多的安全性要求了。

    使用訪問控制和加密技術(shù)是云服務(wù)確保信息安全的關(guān)鍵

    運(yùn)供應(yīng)商知道企業(yè)擔(dān)憂數(shù)據(jù)存儲的地理位置問題，以及相應(yīng)數(shù)據(jù)的安全新問題，因此在主要市場通過更多的開設(shè)云數(shù)據(jù)中心的方式來解除企業(yè)顧慮。

    一旦數(shù)據(jù)到達(dá)了云平臺的存儲位置，就開始進(jìn)行下一步數(shù)據(jù)安全措施了。Titterington說：“一般來說，實際的傳輸階段是擔(dān)憂最少的階段，這時用戶所關(guān)注的是數(shù)據(jù)到達(dá)后會被如何存儲。”

    Titterington 認(rèn)為，對于云技術(shù)來說，訪問控制技術(shù)的運(yùn)用是至關(guān)重要的，他說：“訪問控制必須被重視。云服務(wù)的大門永遠(yuǎn)是面向互聯(lián)網(wǎng)的，不論采用的是軟件即服務(wù)（SaaS），平臺即服務(wù)（PaaS）還是架構(gòu)即服務(wù)（IaaS）模式。在開放環(huán)境和企業(yè)數(shù)據(jù)之間只有訪問控制機(jī)制在起作用。”

    Ovum 建議機(jī)構(gòu)將訪問控制集成進(jìn)他們自己的云服務(wù)中，這樣內(nèi)部和外部的身份認(rèn)證和登錄系統(tǒng)將同步進(jìn)行，減小了出現(xiàn)安全風(fēng)險的機(jī)會。

    企業(yè)同樣需要確保他們能夠得到最新的數(shù)據(jù)訪問記錄。這個策略意味著，一旦用戶離開辦公環(huán)境，他們的接入權(quán)限馬上會被收回，這樣他們就不能從辦公地點以外的非授權(quán)系統(tǒng)訪問云服務(wù)。

    和數(shù)據(jù)傳輸過程一樣，數(shù)據(jù)存儲時同樣需要進(jìn)行數(shù)據(jù)加密，以提高信息的安全性。

    Ovum的 Titterington 表示，有些加密技術(shù)允許企業(yè)將數(shù)據(jù)加密所使用的密鑰保留在云環(huán)境中，這樣，只有具有完全控制權(quán)限的人才能夠在虛擬機(jī)中查看解密的信息。

    Titterington 說：“目前已經(jīng)有針對云環(huán)境的數(shù)據(jù)加密技術(shù)了，企業(yè)都應(yīng)該考慮使用。”

    企業(yè)所考慮的另一個有關(guān)云環(huán)境下數(shù)據(jù)存儲的問題是，有可能與自己的數(shù)據(jù)存儲在相近空間，或者存儲在緊鄰的虛擬機(jī)中的，就是競爭對手的數(shù)據(jù)。

    而分析人士表示，數(shù)據(jù)混雜存儲甚至被錯誤的用戶訪問的情況基本不會發(fā)生。

    Field Fisher Waterhouse的 Ustaran表示：“我還從沒見過那個服務(wù)提供商會將不同客戶的數(shù)據(jù)混雜在一起，并被錯誤的客戶訪問。”

    Titterington 也補(bǔ)充說：“對于絕大多數(shù)機(jī)構(gòu)來說，他們建立云架構(gòu)時使用的技術(shù)和架構(gòu)就是用來防止出現(xiàn)數(shù)據(jù)交叉感染的。”

    符合監(jiān)管的云

    在考慮采用云服務(wù)時，企業(yè)首先要考慮的是自己的哪個業(yè)務(wù)流最適合采用云服務(wù)，并牢記符合監(jiān)管部門的規(guī)章制度，如Sarbanes-Oxley法案。比如，財務(wù)信息一般被看做不適用于云計算，因為與其它方面的信息來說，有太多的監(jiān)管制度圍繞著財務(wù)信息。

    Titterington認(rèn)為，云服務(wù)供應(yīng)商正好趁這個機(jī)會更詳細(xì)的介紹他們的安全方案，因為客戶提供的其它信息并沒有那么嚴(yán)格的監(jiān)管要求。

    他說：“對于那些需要非常詳細(xì)而嚴(yán)格審批報表的企業(yè)，供應(yīng)商是很難拿出有關(guān)云服務(wù)的正規(guī)的符合審查要求的文書的。因此，作為云服務(wù)供應(yīng)商，你對于這類企業(yè)的吸引力是很有限的。”

    Quocirca的 Longbottom 表示，企業(yè)都需要根據(jù)規(guī)章和監(jiān)管要求對自己的數(shù)據(jù)進(jìn)行分類。數(shù)據(jù)的類型可以包括公開，商業(yè)，保密，以及機(jī)密。

    之后就可以針對不同的信息制定策略了，比如哪類數(shù)據(jù)可以分布存放，是否可以被打印出來。在云計算方面，企業(yè)需要云服務(wù)提供商能夠支持這種數(shù)據(jù)分類方式和對應(yīng)的策略。

    Longbottom 說：“由于不受網(wǎng)絡(luò)，平臺或設(shè)備的限制，這種數(shù)據(jù)分類方法可以很好的適應(yīng)云計算環(huán)境。”

    Field Fisher Waterhouse的 Ustaran 認(rèn)為，云服務(wù)供應(yīng)商可以選擇將歐洲數(shù)據(jù)保護(hù)條例作為他們的服務(wù)標(biāo)準(zhǔn)提供給客戶，這樣客戶在與供應(yīng)商洽談前就知道他們的數(shù)據(jù)將會符合監(jiān)管要求。

    他補(bǔ)充說，企業(yè)和供應(yīng)商需要找到一個既能滿足數(shù)據(jù)安全和監(jiān)管要求，又能實現(xiàn)足夠的靈活性的平衡點。供應(yīng)商將根據(jù)這個平衡點提供相應(yīng)的服務(wù)。

    Ustaran 表示：“合同應(yīng)該注重現(xiàn)實，而不是設(shè)立過多的法律條款，這樣供應(yīng)商將受到太多限制而無法為用戶提供所需的服務(wù)。”

    企業(yè)應(yīng)考察供應(yīng)商是否能夠提供數(shù)據(jù)核查和從系統(tǒng)中移除數(shù)據(jù)的方法

    從云中取回數(shù)據(jù)

    企業(yè)面對云計算時需要考慮的最后一方面內(nèi)容是，如果以后決定更換云服務(wù)供應(yīng)商，那么該如何從前一個供應(yīng)商那里把自己的數(shù)據(jù)取回來。

    Quocirca的 Tarzey 認(rèn)為，企業(yè)要考慮的關(guān)于云計算的幾件大事之一，就是企業(yè)數(shù)據(jù)在未來的情況。

    企業(yè)應(yīng)該考慮他們?nèi)绾螌?shù)據(jù)從云架構(gòu)中取回，并確保所有數(shù)據(jù)備份都從供應(yīng)商的服務(wù)器中刪除了。

    Titterington 表示：“如果你不能簡單方便的將你的數(shù)據(jù)取回來，那么你就算是跟這個服務(wù)商綁定在一起了，不論他怎么樣你都離不開了。這是任何企業(yè)都不愿意見到的。”

    因此企業(yè)在選擇云服務(wù)供應(yīng)商時一定要將這個問題提出來，他說：“提出所有恰當(dāng)?shù)膯栴}，并將所有的服務(wù)承諾列在合同中。”

    網(wǎng)絡(luò)的最后一公里

    當(dāng)然，這些考慮都是必須的，但是是不是我們對于這些外部因素關(guān)注的太過分了？CIO們是不是過多的擔(dān)心按需問題，而忽略了他們的管理問題，以及所謂的網(wǎng)絡(luò)最后一公里的問題？

    IT 領(lǐng)導(dǎo)者們可以花費時間和金錢來與供應(yīng)商建立強(qiáng)大的合作關(guān)系，以達(dá)到緊密的信息安全和數(shù)據(jù)訪問需求。但是任何來自外部的合作，以及根據(jù)需求所使用的外部技術(shù)，都要在內(nèi)部架構(gòu)支持的前提下才能發(fā)揮應(yīng)有的價值。

    看上去 CIO們面對云技術(shù)時更關(guān)心外部問題，而不是內(nèi)部架構(gòu)的支持問題

    其實云計算最關(guān)鍵的是網(wǎng)絡(luò)連接。如果你的公司整體遷移到云計算平臺，那么所有員工都需要確保所使用的程序以及信息都是可訪問的。因此，網(wǎng)絡(luò)的最后一公里，才是云計算普遍應(yīng)用的關(guān)鍵。

    高速寬帶接入點是關(guān)鍵

    支持這一觀點的Quest Software CTO Joe Baguley認(rèn)為，如果沒有高速寬帶接入，任何對于云計算的嘗試都會失敗。因此，這個寬帶接入點將成為云計算的關(guān)鍵點。他說：“我們?nèi)匀粵]有像樣的隨時隨地的互聯(lián)網(wǎng)寬帶接入能力，因此仍然要考慮離線狀態(tài)的企業(yè)運(yùn)作。”

    這是一個盲點。在有關(guān)云計算的討論會議上坐兩個小時，你可能聽不到一句有關(guān)于此的討論，卻能明顯的感覺到所有CIO都在關(guān)注外部的問題，比如信息安全和法規(guī)遵從性。這種忽視的狀態(tài)必須被糾正。

    Baguley 認(rèn)為：“從企業(yè)的角度，如果你將企業(yè)應(yīng)用遷移到外部云服務(wù)平臺，那么你勢必將所有辦公應(yīng)用連接到互聯(lián)網(wǎng)，這樣一來，原先大量在內(nèi)網(wǎng)傳輸?shù)臄?shù)據(jù)就不得不穿過防火墻，進(jìn)入運(yùn)供應(yīng)商那里。”

    一旦在網(wǎng)絡(luò)上出現(xiàn)任何有關(guān)云計算的相關(guān)問題，那些做好了完全準(zhǔn)備的CIO們在采取任何手段應(yīng)對風(fēng)險時，所依賴的就只是這一小段穩(wěn)定而高速的網(wǎng)絡(luò)了。

    云風(fēng)險和企業(yè)需求

    工程咨詢公司Hurleypalmerflatt的CTO Robert Thorogood,表示，IT經(jīng)理必須考慮到企業(yè)需求和風(fēng)險相關(guān)成本之間的關(guān)系。他說：“問題總是集中在如果硬件或軟件出現(xiàn)故障，企業(yè)會受到什么影響上。”

    “不同的企業(yè)能承受不同程度的風(fēng)險。對于財務(wù)公司來說，丟失訂單（不論是何種原因）之類的潛在風(fēng)險是非常大的。任何CIO都必須明白，對業(yè)務(wù)失去控制意味著什么。”

    只有明白這個風(fēng)險，CIO們才能開始認(rèn)真對待云技術(shù)。雖然這項技術(shù)仍然處于起步階段，但是按需計算能夠用高效率的方式將員工與信息連接起來。對于Star Technology Services的前任CEO John Adey來說，處理網(wǎng)絡(luò)最后一公里的問題其實就是創(chuàng)造一種平衡。

    他認(rèn)為：“最大的機(jī)會位于希望永久在線與提供所需能力之間的平衡點上。云技術(shù)是令人興奮的。它讓IT變得更加有活力，也讓人們對于IT的未來更加充滿希望。”

    雖然宣傳的很火熱，但是我們還是要回到現(xiàn)實。研究機(jī)構(gòu) Gartner建議廣大CIO在2011年將云技術(shù)作為首要技術(shù)熱點，但同時該機(jī)構(gòu)也認(rèn)為企業(yè)目前對于按需供給的技術(shù)都還處于嘗試階段。

    云普及率較低

    僅有3%的企業(yè) CIO將他們大部分的IT架構(gòu)遷移到了云服務(wù)平臺或采用軟件即服務(wù)（SaaS）技術(shù)。而盡管未來幾年里，按需技術(shù)將有長足發(fā)展，我們可能仍然很難見到服務(wù)的大范圍應(yīng)用，以及網(wǎng)絡(luò)最后一公里問題被解決。

    Bird & Bird 貿(mào)易部法務(wù)官Barry Jennings認(rèn)為，企業(yè)向云技術(shù)轉(zhuǎn)換，需要有關(guān)鍵的供應(yīng)商獲得企業(yè)的信任，企業(yè)才能將控制權(quán)交予供應(yīng)商。這其中需要解決很多關(guān)鍵性的問題。

    “按需服務(wù)何時才能真正應(yīng)用？它是否適合企業(yè)關(guān)鍵信息和系統(tǒng)？比如政府希望知道，如果通過云技術(shù)降低成本，是否會帶來太多的風(fēng)險。對于云技術(shù)，潛在的用戶很多，但是做到按需服務(wù)還需時日。”

    Westminster City Council的CIO和IT經(jīng)理David Wilde 對此作了總結(jié)，即知道按需服務(wù)在IT行業(yè)普遍實施，云計算的時代才真正開始。

    他表示，對于信息的關(guān)注是清晰和容易理解的。而目前改變的，正如Gartner所發(fā)現(xiàn)的，是企業(yè)真正想購買和使用云服務(wù)，但是供應(yīng)商還沒準(zhǔn)備好。

    云計算潛在的業(yè)務(wù)準(zhǔn)備和深入服務(wù)

    Wilde 說：“你要么選擇公眾云，同時別去擔(dān)心你的數(shù)據(jù)被保存在了哪里，或者你可以購買自己的私有云，當(dāng)然費用很昂貴，還需要系統(tǒng)集成。市場需要通過云平臺提供完善的業(yè)務(wù)準(zhǔn)備和深入的管理服務(wù)，這是企業(yè)服務(wù)買家所需要的。”

    但是隨著未來幾年云計算將爆發(fā)式發(fā)展的宣傳， KPMG 顧問Steve Salmon 也表示，企業(yè)CIO們必須考慮企業(yè)內(nèi)部和外部的環(huán)境，看是否能夠與云供應(yīng)商形成合適的伙伴關(guān)系，同時網(wǎng)絡(luò)最后一公里的問題也至關(guān)重要。

    他說：“你已經(jīng)購買了一個彈性云服務(wù)，具有按需服務(wù)能力，并且具有擴(kuò)展性，但是你的網(wǎng)絡(luò)連接能夠支持這種服務(wù)模式嗎？企業(yè)在考慮云服務(wù)時，需要看看自己是否擁有靈活的網(wǎng)絡(luò)接入能力，讓他們有能力充分發(fā)揮按需服務(wù)的特色，從而真正降低運(yùn)營成本。”

    根據(jù)企業(yè)現(xiàn)有的接入狀況， Salmon認(rèn)為大部分企業(yè)都需要更新接入連接，而這需要6-9個月時間。他說：“隨著越來越多的服務(wù)遷移到云環(huán)境，企業(yè)應(yīng)該注意他們的內(nèi)部網(wǎng)絡(luò)，確保內(nèi)部網(wǎng)絡(luò)能夠提供富媒體內(nèi)容，滿足高質(zhì)量服務(wù)的需求。”