2011年對于云計算來說,將是突破的一年,因為業(yè)界預期今年將會有不少企業(yè)從觀望轉(zhuǎn)向真正采用該技術。
預計未來12個月中,將有越來越多的企業(yè)采用云技術,其中涉及到的包括架構即服務(IaaS),平臺即服務(PaaS),軟件即服務(SaaS)以及私有云。
然而,在云計算安全性方面,大家頭上都懸著個問號。云計算將企業(yè)數(shù)據(jù)存放在企業(yè)防火墻外的數(shù)據(jù)中心,并通過互聯(lián)網(wǎng)進行訪問的概念,確實讓很多企業(yè)都覺得不靠譜。
雖然對于任何企業(yè)技術項目來說,安全性都是需要考慮的,但由于在云技術中,數(shù)據(jù)的移動,存儲和訪問都與以往有所不同,因此它的安全性問題就顯得比別的技術項目更重要了。
企業(yè)應該對云計算安全性擔憂嗎?
與傳統(tǒng)技術項目相比,云計算確實引出了一系列新的安全問題,但是從專家角度看,云計算實際上要比傳統(tǒng)技術項目更具安全性。
Ovum 首席分析師Graham Titterington認為,云計算供應商對于數(shù)據(jù)安全的重視程度遠高于普通企業(yè)的內(nèi)網(wǎng)安全管理人員。
專家認為,企業(yè)不應等到所有安全問題都得到完善解決后再采用云計算
Titterington 說:“大多數(shù)企業(yè)內(nèi)部安全技術人員都無法像云服務供應商那樣提供優(yōu)質(zhì)的安全服務,云服務供應商不但具有專業(yè)的安全水平,而且具有一定的信譽,這在行業(yè)中非常重要。因此一旦某個服務商出現(xiàn)了安全問題,那么該服務商的業(yè)務將遭受毀滅性的打擊,尤其是目前這種大部分企業(yè)都在觀望的時期。”
他又補充說:“對于目前大約95%的企業(yè)來說,采用云服務所實現(xiàn)的安全性要比他們自己在企業(yè)內(nèi)部搞的安全系統(tǒng)更加可靠。黑客們?nèi)肭制髽I(yè)內(nèi)部服務器的難度要遠低于入侵云服務環(huán)境中的服務器。”
Quocirca 公司經(jīng)理 Bob Tarzey表示,在企業(yè)防火墻內(nèi)部建立一個私有云架構,并不會帶來什么額外的安全隱患,而僅有的安全問題可能是關于虛擬機的,但這方面的問題大部分早就已經(jīng)得到解決了。
Tarzey同意 Titterington 的觀點,他也認為專業(yè)的云服務提供商所實現(xiàn)的安全性要高于普通企業(yè)自己的安全系統(tǒng),他說:“企業(yè)很容易忽略的一個問題就是,云服務供應商所使用的架構是最先進的,位于高級的數(shù)據(jù)中心,這遠比企業(yè)在自己的內(nèi)部網(wǎng)絡搭建的安全系統(tǒng)要安全的多,更能滿足企業(yè)對業(yè)務連續(xù)性的需求。”
Field Fisher Waterhouse 律師事務所的總經(jīng)理 Eduardo Ustaran 同樣認為云計算所涉及的數(shù)據(jù)安全問題不會比將企業(yè)IT服務外包出去所面臨的安全風險更大。
由于云計算是將數(shù)據(jù)備份在不同的位置,因此會比傳統(tǒng)方式有更大的安全性。
Ustaran 表示,從客戶的角度看,這樣會感覺更容易失去對數(shù)據(jù)的控制,他說:“面對潛在客戶,云服務供應商必須非常小心面對這一問題,讓客戶明白供應商所提供的安全性遠非他們之前所想象的那樣。”
雖然云服務供應商能夠?qū)崿F(xiàn)高等級的安全性,但是企業(yè)在向云服務邁進之前,仍然需要注意一些問題,從而盡可能安全的實現(xiàn)云計算。
數(shù)據(jù)的移動
傳統(tǒng)的企業(yè)內(nèi)部計算與云計算的不同之處在于,后者需要通過互聯(lián)網(wǎng)將數(shù)據(jù)在云供應商和客戶間進行傳送,而一些企業(yè)認為這個過程有可能出現(xiàn)安全隱患。
實際上,如今的網(wǎng)絡技術已經(jīng)能夠讓企業(yè)在互聯(lián)網(wǎng)上傳輸數(shù)據(jù)時確保數(shù)據(jù)安全,不被惡意份子監(jiān)控和截獲了。
Ustaran 在回答ZDNet 記者采訪時表示:“如今的網(wǎng)絡已經(jīng)越來越安全了,與以往開放式的網(wǎng)絡相比,現(xiàn)在通過網(wǎng)絡傳送數(shù)據(jù)的安全性很高。”
Ovum公司的Titterington 補充說:“ SSL- 和 VPN-類型的技術可以很好的在公眾網(wǎng)絡上進行數(shù)據(jù)安全傳輸。”
對數(shù)據(jù)進行加密,是數(shù)據(jù)在客戶和服務供應商之間傳遞時提升安全性的另一種方法。這意味著數(shù)據(jù)無論是在企業(yè)內(nèi)部還是在向云服務環(huán)境移動過程中,或者存儲在云服務環(huán)境,都是安全的。
云架構的物理位置
數(shù)據(jù)的物理移動和存儲也是有嚴格的法律要求的,因此在討論云計算時,這一點不能忽略。
比如,在歐洲,個人數(shù)據(jù)只能被出口轉(zhuǎn)移到其它歐盟國家,比如簽署有安全港協(xié)議的美國。
如果云服務供應商將企業(yè)的數(shù)據(jù)備份在兩臺位于不同位置(一般不是在美國,或者在不同的國家)的服務器上,企業(yè)可能就會擔心數(shù)據(jù)最終是否會丟失。
這種擔憂雖然不無道理,但是可以通過與服務供應商的談判得到解決。
Field Fisher Waterhouse 的Ustaran 表示:“不論數(shù)據(jù)存在世界哪個角落,只要具備良好的安全性,地理位置就不應該成為什么問題。”
Titterington認為,企業(yè)應該確定他們的數(shù)據(jù)被保存在無安全港協(xié)議地區(qū)的可能性。他說:“企業(yè)能否從供應商那里得到所需的保證?供應商是否擁有類似的安全港協(xié)議,或者正在與那些地區(qū)簽署類似協(xié)議?”
一旦企業(yè)很高興的看到供應商能夠提供相應材料,他們就會很樂意的簽署相關的云服務協(xié)議,因為他們知道自己的數(shù)據(jù)在遷移時能得到保證。
Titterington 認為,如果數(shù)據(jù)在傳輸和存儲過程中都經(jīng)過加密,那么就不用擔心其存儲在第三方數(shù)據(jù)中心的安全性問題了。如果除了企業(yè)自己,其它機構和個人都無法解讀數(shù)據(jù)內(nèi)容,那么數(shù)據(jù)移動也就沒有太多的安全性要求了。
使用訪問控制和加密技術是云服務確保信息安全的關鍵
運供應商知道企業(yè)擔憂數(shù)據(jù)存儲的地理位置問題,以及相應數(shù)據(jù)的安全新問題,因此在主要市場通過更多的開設云數(shù)據(jù)中心的方式來解除企業(yè)顧慮。
確保存儲在云環(huán)境的信息安全
一旦數(shù)據(jù)到達了云平臺的存儲位置,就開始進行下一步數(shù)據(jù)安全措施了。Titterington說:“一般來說,實際的傳輸階段是擔憂最少的階段,這時用戶所關注的是數(shù)據(jù)到達后會被如何存儲。”
Titterington 認為,對于云技術來說,訪問控制技術的運用是至關重要的,他說:“訪問控制必須被重視。云服務的大門永遠是面向互聯(lián)網(wǎng)的,不論采用的是軟件即服務(SaaS),平臺即服務(PaaS)還是架構即服務(IaaS)模式。在開放環(huán)境和企業(yè)數(shù)據(jù)之間只有訪問控制機制在起作用。”
Ovum 建議機構將訪問控制集成進他們自己的云服務中,這樣內(nèi)部和外部的身份認證和登錄系統(tǒng)將同步進行,減小了出現(xiàn)安全風險的機會。
企業(yè)同樣需要確保他們能夠得到最新的數(shù)據(jù)訪問記錄。這個策略意味著,一旦用戶離開辦公環(huán)境,他們的接入權限馬上會被收回,這樣他們就不能從辦公地點以外的非授權系統(tǒng)訪問云服務。
和數(shù)據(jù)傳輸過程一樣,數(shù)據(jù)存儲時同樣需要進行數(shù)據(jù)加密,以提高信息的安全性。
Ovum的 Titterington 表示,有些加密技術允許企業(yè)將數(shù)據(jù)加密所使用的密鑰保留在云環(huán)境中,這樣,只有具有完全控制權限的人才能夠在虛擬機中查看解密的信息。
Titterington 說:“目前已經(jīng)有針對云環(huán)境的數(shù)據(jù)加密技術了,企業(yè)都應該考慮使用。”
企業(yè)所考慮的另一個有關云環(huán)境下數(shù)據(jù)存儲的問題是,有可能與自己的數(shù)據(jù)存儲在相近空間,或者存儲在緊鄰的虛擬機中的,就是競爭對手的數(shù)據(jù)。
而分析人士表示,數(shù)據(jù)混雜存儲甚至被錯誤的用戶訪問的情況基本不會發(fā)生。
Field Fisher Waterhouse的 Ustaran表示:“我還從沒見過那個服務提供商會將不同客戶的數(shù)據(jù)混雜在一起,并被錯誤的客戶訪問。”
Titterington 也補充說:“對于絕大多數(shù)機構來說,他們建立云架構時使用的技術和架構就是用來防止出現(xiàn)數(shù)據(jù)交叉感染的。”
符合監(jiān)管的云
在考慮采用云服務時,企業(yè)首先要考慮的是自己的哪個業(yè)務流最適合采用云服務,并牢記符合監(jiān)管部門的規(guī)章制度,如Sarbanes-Oxley法案。比如,財務信息一般被看做不適用于云計算,因為與其它方面的信息來說,有太多的監(jiān)管制度圍繞著財務信息。
Titterington認為,云服務供應商正好趁這個機會更詳細的介紹他們的安全方案,因為客戶提供的其它信息并沒有那么嚴格的監(jiān)管要求。
他說:“對于那些需要非常詳細而嚴格審批報表的企業(yè),供應商是很難拿出有關云服務的正規(guī)的符合審查要求的文書的。因此,作為云服務供應商,你對于這類企業(yè)的吸引力是很有限的。”
Quocirca的 Longbottom 表示,企業(yè)都需要根據(jù)規(guī)章和監(jiān)管要求對自己的數(shù)據(jù)進行分類。數(shù)據(jù)的類型可以包括公開,商業(yè),保密,以及機密。
之后就可以針對不同的信息制定策略了,比如哪類數(shù)據(jù)可以分布存放,是否可以被打印出來。在云計算方面,企業(yè)需要云服務提供商能夠支持這種數(shù)據(jù)分類方式和對應的策略。
Longbottom 說:“由于不受網(wǎng)絡,平臺或設備的限制,這種數(shù)據(jù)分類方法可以很好的適應云計算環(huán)境。”
Field Fisher Waterhouse的 Ustaran 認為,云服務供應商可以選擇將歐洲數(shù)據(jù)保護條例作為他們的服務標準提供給客戶,這樣客戶在與供應商洽談前就知道他們的數(shù)據(jù)將會符合監(jiān)管要求。
他補充說,企業(yè)和供應商需要找到一個既能滿足數(shù)據(jù)安全和監(jiān)管要求,又能實現(xiàn)足夠的靈活性的平衡點。供應商將根據(jù)這個平衡點提供相應的服務。
Ustaran 表示:“合同應該注重現(xiàn)實,而不是設立過多的法律條款,這樣供應商將受到太多限制而無法為用戶提供所需的服務。”
企業(yè)應考察供應商是否能夠提供數(shù)據(jù)核查和從系統(tǒng)中移除數(shù)據(jù)的方法
從云中取回數(shù)據(jù)
企業(yè)面對云計算時需要考慮的最后一方面內(nèi)容是,如果以后決定更換云服務供應商,那么該如何從前一個供應商那里把自己的數(shù)據(jù)取回來。
Quocirca的 Tarzey 認為,企業(yè)要考慮的關于云計算的幾件大事之一,就是企業(yè)數(shù)據(jù)在未來的情況。
企業(yè)應該考慮他們?nèi)绾螌?shù)據(jù)從云架構中取回,并確保所有數(shù)據(jù)備份都從供應商的服務器中刪除了。
Titterington 表示:“如果你不能簡單方便的將你的數(shù)據(jù)取回來,那么你就算是跟這個服務商綁定在一起了,不論他怎么樣你都離不開了。這是任何企業(yè)都不愿意見到的。”
因此企業(yè)在選擇云服務供應商時一定要將這個問題提出來,他說:“提出所有恰當?shù)膯栴},并將所有的服務承諾列在合同中。”
網(wǎng)絡的最后一公里
當然,這些考慮都是必須的,但是是不是我們對于這些外部因素關注的太過分了?CIO們是不是過多的擔心按需問題,而忽略了他們的管理問題,以及所謂的網(wǎng)絡最后一公里的問題?
IT 領導者們可以花費時間和金錢來與供應商建立強大的合作關系,以達到緊密的信息安全和數(shù)據(jù)訪問需求。但是任何來自外部的合作,以及根據(jù)需求所使用的外部技術,都要在內(nèi)部架構支持的前提下才能發(fā)揮應有的價值。
看上去 CIO們面對云技術時更關心外部問題,而不是內(nèi)部架構的支持問題
其實云計算最關鍵的是網(wǎng)絡連接。如果你的公司整體遷移到云計算平臺,那么所有員工都需要確保所使用的程序以及信息都是可訪問的。因此,網(wǎng)絡的最后一公里,才是云計算普遍應用的關鍵。
高速寬帶接入點是關鍵
支持這一觀點的Quest Software CTO Joe Baguley認為,如果沒有高速寬帶接入,任何對于云計算的嘗試都會失敗。因此,這個寬帶接入點將成為云計算的關鍵點。他說:“我們?nèi)匀粵]有像樣的隨時隨地的互聯(lián)網(wǎng)寬帶接入能力,因此仍然要考慮離線狀態(tài)的企業(yè)運作。”
這是一個盲點。在有關云計算的討論會議上坐兩個小時,你可能聽不到一句有關于此的討論,卻能明顯的感覺到所有CIO都在關注外部的問題,比如信息安全和法規(guī)遵從性。這種忽視的狀態(tài)必須被糾正。
Baguley 認為:“從企業(yè)的角度,如果你將企業(yè)應用遷移到外部云服務平臺,那么你勢必將所有辦公應用連接到互聯(lián)網(wǎng),這樣一來,原先大量在內(nèi)網(wǎng)傳輸?shù)臄?shù)據(jù)就不得不穿過防火墻,進入運供應商那里。”
一旦在網(wǎng)絡上出現(xiàn)任何有關云計算的相關問題,那些做好了完全準備的CIO們在采取任何手段應對風險時,所依賴的就只是這一小段穩(wěn)定而高速的網(wǎng)絡了。
云風險和企業(yè)需求
工程咨詢公司Hurleypalmerflatt的CTO Robert Thorogood,表示,IT經(jīng)理必須考慮到企業(yè)需求和風險相關成本之間的關系。他說:“問題總是集中在如果硬件或軟件出現(xiàn)故障,企業(yè)會受到什么影響上。”
“不同的企業(yè)能承受不同程度的風險。對于財務公司來說,丟失訂單(不論是何種原因)之類的潛在風險是非常大的。任何CIO都必須明白,對業(yè)務失去控制意味著什么。”
只有明白這個風險,CIO們才能開始認真對待云技術。雖然這項技術仍然處于起步階段,但是按需計算能夠用高效率的方式將員工與信息連接起來。對于Star Technology Services的前任CEO John Adey來說,處理網(wǎng)絡最后一公里的問題其實就是創(chuàng)造一種平衡。
他認為:“最大的機會位于希望永久在線與提供所需能力之間的平衡點上。云技術是令人興奮的。它讓IT變得更加有活力,也讓人們對于IT的未來更加充滿希望。”
雖然宣傳的很火熱,但是我們還是要回到現(xiàn)實。研究機構 Gartner建議廣大CIO在2011年將云技術作為首要技術熱點,但同時該機構也認為企業(yè)目前對于按需供給的技術都還處于嘗試階段。
云普及率較低
僅有3%的企業(yè) CIO將他們大部分的IT架構遷移到了云服務平臺或采用軟件即服務(SaaS)技術。而盡管未來幾年里,按需技術將有長足發(fā)展,我們可能仍然很難見到服務的大范圍應用,以及網(wǎng)絡最后一公里問題被解決。
Bird & Bird 貿(mào)易部法務官Barry Jennings認為,企業(yè)向云技術轉(zhuǎn)換,需要有關鍵的供應商獲得企業(yè)的信任,企業(yè)才能將控制權交予供應商。這其中需要解決很多關鍵性的問題。
“按需服務何時才能真正應用?它是否適合企業(yè)關鍵信息和系統(tǒng)?比如政府希望知道,如果通過云技術降低成本,是否會帶來太多的風險。對于云技術,潛在的用戶很多,但是做到按需服務還需時日。”
Westminster City Council的CIO和IT經(jīng)理David Wilde 對此作了總結,即知道按需服務在IT行業(yè)普遍實施,云計算的時代才真正開始。
他表示,對于信息的關注是清晰和容易理解的。而目前改變的,正如Gartner所發(fā)現(xiàn)的,是企業(yè)真正想購買和使用云服務,但是供應商還沒準備好。
云計算潛在的業(yè)務準備和深入服務
Wilde 說:“你要么選擇公眾云,同時別去擔心你的數(shù)據(jù)被保存在了哪里,或者你可以購買自己的私有云,當然費用很昂貴,還需要系統(tǒng)集成。市場需要通過云平臺提供完善的業(yè)務準備和深入的管理服務,這是企業(yè)服務買家所需要的。”
但是隨著未來幾年云計算將爆發(fā)式發(fā)展的宣傳, KPMG 顧問Steve Salmon 也表示,企業(yè)CIO們必須考慮企業(yè)內(nèi)部和外部的環(huán)境,看是否能夠與云供應商形成合適的伙伴關系,同時網(wǎng)絡最后一公里的問題也至關重要。
他說:“你已經(jīng)購買了一個彈性云服務,具有按需服務能力,并且具有擴展性,但是你的網(wǎng)絡連接能夠支持這種服務模式嗎?企業(yè)在考慮云服務時,需要看看自己是否擁有靈活的網(wǎng)絡接入能力,讓他們有能力充分發(fā)揮按需服務的特色,從而真正降低運營成本。”
根據(jù)企業(yè)現(xiàn)有的接入狀況, Salmon認為大部分企業(yè)都需要更新接入連接,而這需要6-9個月時間。他說:“隨著越來越多的服務遷移到云環(huán)境,企業(yè)應該注意他們的內(nèi)部網(wǎng)絡,確保內(nèi)部網(wǎng)絡能夠提供富媒體內(nèi)容,滿足高質(zhì)量服務的需求。”