預計未來12個月中，將有越來越多的企業(yè)采用云技術，其中涉及到的包括架構即服務（IaaS），平臺即服務（PaaS），軟件即服務（SaaS）以及私有云。

    然而，在云計算安全性方面，大家頭上都懸著個問號。云計算將企業(yè)數(shù)據(jù)存放在企業(yè)防火墻外的數(shù)據(jù)中心，并通過互聯(lián)網(wǎng)進行訪問的概念，確實讓很多企業(yè)都覺得不靠譜。

    雖然對于任何企業(yè)技術項目來說，安全性都是需要考慮的，但由于在云技術中，數(shù)據(jù)的移動，存儲和訪問都與以往有所不同，因此它的安全性問題就顯得比別的技術項目更重要了。

    企業(yè)應該對云計算安全性擔憂嗎？

    與傳統(tǒng)技術項目相比，云計算確實引出了一系列新的安全問題，但是從專家角度看，云計算實際上要比傳統(tǒng)技術項目更具安全性。

    Ovum 首席分析師Graham Titterington認為，云計算供應商對于數(shù)據(jù)安全的重視程度遠高于普通企業(yè)的內(nèi)網(wǎng)安全管理人員。

    專家認為，企業(yè)不應等到所有安全問題都得到完善解決后再采用云計算

    Titterington 說：“大多數(shù)企業(yè)內(nèi)部安全技術人員都無法像云服務供應商那樣提供優(yōu)質(zhì)的安全服務，云服務供應商不但具有專業(yè)的安全水平，而且具有一定的信譽，這在行業(yè)中非常重要。因此一旦某個服務商出現(xiàn)了安全問題，那么該服務商的業(yè)務將遭受毀滅性的打擊，尤其是目前這種大部分企業(yè)都在觀望的時期。”

    他又補充說：“對于目前大約95%的企業(yè)來說，采用云服務所實現(xiàn)的安全性要比他們自己在企業(yè)內(nèi)部搞的安全系統(tǒng)更加可靠。黑客們?nèi)肭制髽I(yè)內(nèi)部服務器的難度要遠低于入侵云服務環(huán)境中的服務器。”

    Quocirca 公司經(jīng)理 Bob Tarzey表示，在企業(yè)防火墻內(nèi)部建立一個私有云架構，并不會帶來什么額外的安全隱患，而僅有的安全問題可能是關于虛擬機的，但這方面的問題大部分早就已經(jīng)得到解決了。

    Tarzey同意 Titterington 的觀點，他也認為專業(yè)的云服務提供商所實現(xiàn)的安全性要高于普通企業(yè)自己的安全系統(tǒng)，他說：“企業(yè)很容易忽略的一個問題就是，云服務供應商所使用的架構是最先進的，位于高級的數(shù)據(jù)中心，這遠比企業(yè)在自己的內(nèi)部網(wǎng)絡搭建的安全系統(tǒng)要安全的多，更能滿足企業(yè)對業(yè)務連續(xù)性的需求。”

    Field Fisher Waterhouse 律師事務所的總經(jīng)理 Eduardo Ustaran 同樣認為云計算所涉及的數(shù)據(jù)安全問題不會比將企業(yè)IT服務外包出去所面臨的安全風險更大。

    由于云計算是將數(shù)據(jù)備份在不同的位置，因此會比傳統(tǒng)方式有更大的安全性。

    Ustaran 表示，從客戶的角度看，這樣會感覺更容易失去對數(shù)據(jù)的控制，他說：“面對潛在客戶，云服務供應商必須非常小心面對這一問題，讓客戶明白供應商所提供的安全性遠非他們之前所想象的那樣。”

    雖然云服務供應商能夠?qū)崿F(xiàn)高等級的安全性，但是企業(yè)在向云服務邁進之前，仍然需要注意一些問題，從而盡可能安全的實現(xiàn)云計算。

    數(shù)據(jù)的移動

    傳統(tǒng)的企業(yè)內(nèi)部計算與云計算的不同之處在于，后者需要通過互聯(lián)網(wǎng)將數(shù)據(jù)在云供應商和客戶間進行傳送，而一些企業(yè)認為這個過程有可能出現(xiàn)安全隱患。

    實際上，如今的網(wǎng)絡技術已經(jīng)能夠讓企業(yè)在互聯(lián)網(wǎng)上傳輸數(shù)據(jù)時確保數(shù)據(jù)安全，不被惡意份子監(jiān)控和截獲了。

    Ustaran 在回答ZDNet 記者采訪時表示：“如今的網(wǎng)絡已經(jīng)越來越安全了，與以往開放式的網(wǎng)絡相比，現(xiàn)在通過網(wǎng)絡傳送數(shù)據(jù)的安全性很高。”

    Ovum公司的Titterington 補充說：“ SSL- 和 VPN-類型的技術可以很好的在公眾網(wǎng)絡上進行數(shù)據(jù)安全傳輸。”

    對數(shù)據(jù)進行加密，是數(shù)據(jù)在客戶和服務供應商之間傳遞時提升安全性的另一種方法。這意味著數(shù)據(jù)無論是在企業(yè)內(nèi)部還是在向云服務環(huán)境移動過程中，或者存儲在云服務環(huán)境，都是安全的。

    云架構的物理位置

    數(shù)據(jù)的物理移動和存儲也是有嚴格的法律要求的，因此在討論云計算時，這一點不能忽略。

    比如，在歐洲，個人數(shù)據(jù)只能被出口轉(zhuǎn)移到其它歐盟國家，比如簽署有安全港協(xié)議的美國。

    如果云服務供應商將企業(yè)的數(shù)據(jù)備份在兩臺位于不同位置（一般不是在美國，或者在不同的國家）的服務器上，企業(yè)可能就會擔心數(shù)據(jù)最終是否會丟失。

    這種擔憂雖然不無道理，但是可以通過與服務供應商的談判得到解決。

    Field Fisher Waterhouse 的Ustaran 表示：“不論數(shù)據(jù)存在世界哪個角落，只要具備良好的安全性，地理位置就不應該成為什么問題。”

    Titterington認為，企業(yè)應該確定他們的數(shù)據(jù)被保存在無安全港協(xié)議地區(qū)的可能性。他說：“企業(yè)能否從供應商那里得到所需的保證？供應商是否擁有類似的安全港協(xié)議，或者正在與那些地區(qū)簽署類似協(xié)議？”

    一旦企業(yè)很高興的看到供應商能夠提供相應材料，他們就會很樂意的簽署相關的云服務協(xié)議，因為他們知道自己的數(shù)據(jù)在遷移時能得到保證。

    Titterington 認為，如果數(shù)據(jù)在傳輸和存儲過程中都經(jīng)過加密，那么就不用擔心其存儲在第三方數(shù)據(jù)中心的安全性問題了。如果除了企業(yè)自己，其它機構和個人都無法解讀數(shù)據(jù)內(nèi)容，那么數(shù)據(jù)移動也就沒有太多的安全性要求了。

    使用訪問控制和加密技術是云服務確保信息安全的關鍵

    運供應商知道企業(yè)擔憂數(shù)據(jù)存儲的地理位置問題，以及相應數(shù)據(jù)的安全新問題，因此在主要市場通過更多的開設云數(shù)據(jù)中心的方式來解除企業(yè)顧慮。

    一旦數(shù)據(jù)到達了云平臺的存儲位置，就開始進行下一步數(shù)據(jù)安全措施了。Titterington說：“一般來說，實際的傳輸階段是擔憂最少的階段，這時用戶所關注的是數(shù)據(jù)到達后會被如何存儲。”

    Titterington 認為，對于云技術來說，訪問控制技術的運用是至關重要的，他說：“訪問控制必須被重視。云服務的大門永遠是面向互聯(lián)網(wǎng)的，不論采用的是軟件即服務（SaaS），平臺即服務（PaaS）還是架構即服務（IaaS）模式。在開放環(huán)境和企業(yè)數(shù)據(jù)之間只有訪問控制機制在起作用。”

    Ovum 建議機構將訪問控制集成進他們自己的云服務中，這樣內(nèi)部和外部的身份認證和登錄系統(tǒng)將同步進行，減小了出現(xiàn)安全風險的機會。

    企業(yè)同樣需要確保他們能夠得到最新的數(shù)據(jù)訪問記錄。這個策略意味著，一旦用戶離開辦公環(huán)境，他們的接入權限馬上會被收回，這樣他們就不能從辦公地點以外的非授權系統(tǒng)訪問云服務。

    和數(shù)據(jù)傳輸過程一樣，數(shù)據(jù)存儲時同樣需要進行數(shù)據(jù)加密，以提高信息的安全性。

    Ovum的 Titterington 表示，有些加密技術允許企業(yè)將數(shù)據(jù)加密所使用的密鑰保留在云環(huán)境中，這樣，只有具有完全控制權限的人才能夠在虛擬機中查看解密的信息。

    Titterington 說：“目前已經(jīng)有針對云環(huán)境的數(shù)據(jù)加密技術了，企業(yè)都應該考慮使用。”

    企業(yè)所考慮的另一個有關云環(huán)境下數(shù)據(jù)存儲的問題是，有可能與自己的數(shù)據(jù)存儲在相近空間，或者存儲在緊鄰的虛擬機中的，就是競爭對手的數(shù)據(jù)。

    而分析人士表示，數(shù)據(jù)混雜存儲甚至被錯誤的用戶訪問的情況基本不會發(fā)生。

    Field Fisher Waterhouse的 Ustaran表示：“我還從沒見過那個服務提供商會將不同客戶的數(shù)據(jù)混雜在一起，并被錯誤的客戶訪問。”

    Titterington 也補充說：“對于絕大多數(shù)機構來說，他們建立云架構時使用的技術和架構就是用來防止出現(xiàn)數(shù)據(jù)交叉感染的。”

    符合監(jiān)管的云

    在考慮采用云服務時，企業(yè)首先要考慮的是自己的哪個業(yè)務流最適合采用云服務，并牢記符合監(jiān)管部門的規(guī)章制度，如Sarbanes-Oxley法案。比如，財務信息一般被看做不適用于云計算，因為與其它方面的信息來說，有太多的監(jiān)管制度圍繞著財務信息。

    Titterington認為，云服務供應商正好趁這個機會更詳細的介紹他們的安全方案，因為客戶提供的其它信息并沒有那么嚴格的監(jiān)管要求。

    他說：“對于那些需要非常詳細而嚴格審批報表的企業(yè)，供應商是很難拿出有關云服務的正規(guī)的符合審查要求的文書的。因此，作為云服務供應商，你對于這類企業(yè)的吸引力是很有限的。”

    Quocirca的 Longbottom 表示，企業(yè)都需要根據(jù)規(guī)章和監(jiān)管要求對自己的數(shù)據(jù)進行分類。數(shù)據(jù)的類型可以包括公開，商業(yè)，保密，以及機密。

    之后就可以針對不同的信息制定策略了，比如哪類數(shù)據(jù)可以分布存放，是否可以被打印出來。在云計算方面，企業(yè)需要云服務提供商能夠支持這種數(shù)據(jù)分類方式和對應的策略。

    Longbottom 說：“由于不受網(wǎng)絡，平臺或設備的限制，這種數(shù)據(jù)分類方法可以很好的適應云計算環(huán)境。”

    Field Fisher Waterhouse的 Ustaran 認為，云服務供應商可以選擇將歐洲數(shù)據(jù)保護條例作為他們的服務標準提供給客戶，這樣客戶在與供應商洽談前就知道他們的數(shù)據(jù)將會符合監(jiān)管要求。

    他補充說，企業(yè)和供應商需要找到一個既能滿足數(shù)據(jù)安全和監(jiān)管要求，又能實現(xiàn)足夠的靈活性的平衡點。供應商將根據(jù)這個平衡點提供相應的服務。

    Ustaran 表示：“合同應該注重現(xiàn)實，而不是設立過多的法律條款，這樣供應商將受到太多限制而無法為用戶提供所需的服務。”

    企業(yè)應考察供應商是否能夠提供數(shù)據(jù)核查和從系統(tǒng)中移除數(shù)據(jù)的方法

    從云中取回數(shù)據(jù)

    企業(yè)面對云計算時需要考慮的最后一方面內(nèi)容是，如果以后決定更換云服務供應商，那么該如何從前一個供應商那里把自己的數(shù)據(jù)取回來。

    Quocirca的 Tarzey 認為，企業(yè)要考慮的關于云計算的幾件大事之一，就是企業(yè)數(shù)據(jù)在未來的情況。

    企業(yè)應該考慮他們?nèi)绾螌?shù)據(jù)從云架構中取回，并確保所有數(shù)據(jù)備份都從供應商的服務器中刪除了。

    Titterington 表示：“如果你不能簡單方便的將你的數(shù)據(jù)取回來，那么你就算是跟這個服務商綁定在一起了，不論他怎么樣你都離不開了。這是任何企業(yè)都不愿意見到的。”

    因此企業(yè)在選擇云服務供應商時一定要將這個問題提出來，他說：“提出所有恰當?shù)膯栴}，并將所有的服務承諾列在合同中。”

    網(wǎng)絡的最后一公里

    當然，這些考慮都是必須的，但是是不是我們對于這些外部因素關注的太過分了？CIO們是不是過多的擔心按需問題，而忽略了他們的管理問題，以及所謂的網(wǎng)絡最后一公里的問題？

    IT 領導者們可以花費時間和金錢來與供應商建立強大的合作關系，以達到緊密的信息安全和數(shù)據(jù)訪問需求。但是任何來自外部的合作，以及根據(jù)需求所使用的外部技術，都要在內(nèi)部架構支持的前提下才能發(fā)揮應有的價值。

    看上去 CIO們面對云技術時更關心外部問題，而不是內(nèi)部架構的支持問題

    其實云計算最關鍵的是網(wǎng)絡連接。如果你的公司整體遷移到云計算平臺，那么所有員工都需要確保所使用的程序以及信息都是可訪問的。因此，網(wǎng)絡的最后一公里，才是云計算普遍應用的關鍵。

    高速寬帶接入點是關鍵

    支持這一觀點的Quest Software CTO Joe Baguley認為，如果沒有高速寬帶接入，任何對于云計算的嘗試都會失敗。因此，這個寬帶接入點將成為云計算的關鍵點。他說：“我們?nèi)匀粵]有像樣的隨時隨地的互聯(lián)網(wǎng)寬帶接入能力，因此仍然要考慮離線狀態(tài)的企業(yè)運作。”

    這是一個盲點。在有關云計算的討論會議上坐兩個小時，你可能聽不到一句有關于此的討論，卻能明顯的感覺到所有CIO都在關注外部的問題，比如信息安全和法規(guī)遵從性。這種忽視的狀態(tài)必須被糾正。

    Baguley 認為：“從企業(yè)的角度，如果你將企業(yè)應用遷移到外部云服務平臺，那么你勢必將所有辦公應用連接到互聯(lián)網(wǎng)，這樣一來，原先大量在內(nèi)網(wǎng)傳輸?shù)臄?shù)據(jù)就不得不穿過防火墻，進入運供應商那里。”

    一旦在網(wǎng)絡上出現(xiàn)任何有關云計算的相關問題，那些做好了完全準備的CIO們在采取任何手段應對風險時，所依賴的就只是這一小段穩(wěn)定而高速的網(wǎng)絡了。

    云風險和企業(yè)需求

    工程咨詢公司Hurleypalmerflatt的CTO Robert Thorogood,表示，IT經(jīng)理必須考慮到企業(yè)需求和風險相關成本之間的關系。他說：“問題總是集中在如果硬件或軟件出現(xiàn)故障，企業(yè)會受到什么影響上。”

    “不同的企業(yè)能承受不同程度的風險。對于財務公司來說，丟失訂單（不論是何種原因）之類的潛在風險是非常大的。任何CIO都必須明白，對業(yè)務失去控制意味著什么。”

    只有明白這個風險，CIO們才能開始認真對待云技術。雖然這項技術仍然處于起步階段，但是按需計算能夠用高效率的方式將員工與信息連接起來。對于Star Technology Services的前任CEO John Adey來說，處理網(wǎng)絡最后一公里的問題其實就是創(chuàng)造一種平衡。

    他認為：“最大的機會位于希望永久在線與提供所需能力之間的平衡點上。云技術是令人興奮的。它讓IT變得更加有活力，也讓人們對于IT的未來更加充滿希望。”

    雖然宣傳的很火熱，但是我們還是要回到現(xiàn)實。研究機構 Gartner建議廣大CIO在2011年將云技術作為首要技術熱點，但同時該機構也認為企業(yè)目前對于按需供給的技術都還處于嘗試階段。

    云普及率較低

    僅有3%的企業(yè) CIO將他們大部分的IT架構遷移到了云服務平臺或采用軟件即服務（SaaS）技術。而盡管未來幾年里，按需技術將有長足發(fā)展，我們可能仍然很難見到服務的大范圍應用，以及網(wǎng)絡最后一公里問題被解決。

    Bird & Bird 貿(mào)易部法務官Barry Jennings認為，企業(yè)向云技術轉(zhuǎn)換，需要有關鍵的供應商獲得企業(yè)的信任，企業(yè)才能將控制權交予供應商。這其中需要解決很多關鍵性的問題。

    “按需服務何時才能真正應用？它是否適合企業(yè)關鍵信息和系統(tǒng)？比如政府希望知道，如果通過云技術降低成本，是否會帶來太多的風險。對于云技術，潛在的用戶很多，但是做到按需服務還需時日。”

    Westminster City Council的CIO和IT經(jīng)理David Wilde 對此作了總結，即知道按需服務在IT行業(yè)普遍實施，云計算的時代才真正開始。

    他表示，對于信息的關注是清晰和容易理解的。而目前改變的，正如Gartner所發(fā)現(xiàn)的，是企業(yè)真正想購買和使用云服務，但是供應商還沒準備好。

    云計算潛在的業(yè)務準備和深入服務

    Wilde 說：“你要么選擇公眾云，同時別去擔心你的數(shù)據(jù)被保存在了哪里，或者你可以購買自己的私有云，當然費用很昂貴，還需要系統(tǒng)集成。市場需要通過云平臺提供完善的業(yè)務準備和深入的管理服務，這是企業(yè)服務買家所需要的。”

    但是隨著未來幾年云計算將爆發(fā)式發(fā)展的宣傳， KPMG 顧問Steve Salmon 也表示，企業(yè)CIO們必須考慮企業(yè)內(nèi)部和外部的環(huán)境，看是否能夠與云供應商形成合適的伙伴關系，同時網(wǎng)絡最后一公里的問題也至關重要。

    他說：“你已經(jīng)購買了一個彈性云服務，具有按需服務能力，并且具有擴展性，但是你的網(wǎng)絡連接能夠支持這種服務模式嗎？企業(yè)在考慮云服務時，需要看看自己是否擁有靈活的網(wǎng)絡接入能力，讓他們有能力充分發(fā)揮按需服務的特色，從而真正降低運營成本。”

    根據(jù)企業(yè)現(xiàn)有的接入狀況， Salmon認為大部分企業(yè)都需要更新接入連接，而這需要6-9個月時間。他說：“隨著越來越多的服務遷移到云環(huán)境，企業(yè)應該注意他們的內(nèi)部網(wǎng)絡，確保內(nèi)部網(wǎng)絡能夠提供富媒體內(nèi)容，滿足高質(zhì)量服務的需求。”