雲計算興起 雲安全的挑戰

過去幾年，雲計算的興起一直都是科技領域的熱門話題。 而隨著全球經濟陷入衰退，公司控制成本的需求與日俱增，是否將業務流程通過「雲」進行外包成了管理者們愈發關注的話題。 這種趨勢下，「無論是作為即時聯網工具，還是作為應付經濟衰退的措施，雲計算的運用都在增長」，Strategy Analytics最新的一份報告指出。 而根據埃森哲的預計，2013年，中國的雲計算市場將達到1174億元人民幣，正處於快速擴張之中。

眾所周知，「雲」從字面意思來看，意味著雲一般寬廣、舒適的存儲空間，可以實現計算能力、服務和應用的共用。 對企業而言，外包意味著一家公司能以遠低於自行管理時的成本實現業務流程的「最優化」——如果能把電子郵件的管理外包出去，公司有什麼理由在有限的辦公室內配備許多嗡嗡作響的電子郵件伺服器，並配備一批技術維護團隊呢?

在埃森哲大中華區資訊技術服務董事總經理丁寶洛(Paul Dean)看來，中小企業是雲計算服務最合適的使用者群。 採用這項服務後，中小企業無需再自行預置系統，而是可以從市場上購買現成的關鍵業務流程服務。 「這樣一來，企業的採購、財務及CRM等領域都可以納入雲計算的系統，而不會在資產負債表中體現公司購買了多少硬體。 」這一點在經濟蕭條時期尤其重要。

即便降低了成本，外包真的是一個好主意嗎?儘管雲計算服務正在迅猛增長，但谷歌、微軟、亞馬遜和IBM等巨頭都知道，它的前行並非暢通無阻。 畢竟，決定是否外包一項業務流程，還需要考慮技術外的諸多因素。

首先，企業實施的雲計算是現有系統和跨平臺運用的集成，「現有系統能否結合雲上的應用進行正常運轉是一大挑戰。 」丁寶洛指出。 將現有系統移轉到雲計算上，其遷移成本、實施週期以及技術的成熟度，都是必須解決的問題。 許多CIO還擔心，花費大量預算和精力部署的雲計算只是曇花一現，很快又會被其他新技術替代。

在此基礎上，公司還必須對內部的資料處理能力進行預測和管理，從而決定在基礎設施方面投資多少。 儘管「雲」是處理大資料的最有效方法，但如果在公司內部部署了全部處理能力，業務低谷期時就可能導致處理能力過剩，使公司付出高昂代價。 此外，如果公司外包的業務流程環節較多，並分別採用不同的供應商，那麼保持系統的一致也會變為挑戰。

相比之下，更為關鍵的仍然是「雲安全」的問題。 一家IT供應商或許能為你提供非常合適的雲應用，公司和機構也能從雲處理能力中獲益，但你願意把最珍貴的資源——客戶資料交到外部的供應商手中嗎?公司的資料是否會和其他公司的資料混在一起?另外，如果這家IT供應商關門大吉了， 公司的資料會受到怎樣的影響?

換言之，服務商是否誠信可靠，直接關係到客戶的機密資料是否會被丟失或洩露。 然而，雲計算服務商和使用者之間的資訊並不對稱，一方面，正是出於解放和優化自身IT資源的初衷，企業將IT計算和服務外包給雲服務提供者，所以自身幾乎沒有足夠的資源去洞察IT服務商的「雲」細節。 另一方面，IT服務商出於自身商業機密的考慮，也無法將「雲」中的關鍵資訊全面呈現給使用者。 於是很多情況下，採用雲計算的公司出於安全考慮都必須保留對資料的控制權。

「從傳統的IT領域進入雲計算領域，等於進入了一個全新的世界，這裡面牽扯到各種資料和多個供應商。 放在雲裡的資料如何得到保護，很自然地會成為問題。 」丁寶洛稱，「它不僅是技術問題，還涉及到政策、系統、監管、信任等諸多方面。 」儘管人們越來越熟悉雲計算，也更願意通過雲服務開展他們的業務，但對於雲安全仍然存在著許多模糊。 就中國市場而言，儘管政府對雲計算投入了大量的資金和政策支援，但目前尚未有關于雲計算運營的相關法律法規出臺。 對企業來說，一旦資料出了問題，又無法對最終的責任進行追究，那麼將造成無法想像的損失。

「這就是為什麼我們建議企業在雲計算環境下設置首席安全架構師一職。 」丁寶洛稱。 過去的危機補救方式往往是事後的，而現在要轉向主動性的管理。 首席安全架構師應該全面統籌與「雲安全」相關的方方面面，「不僅要跟蹤解決方案本身，而要從信任、監管、政策等角度綜合評估風險。 」只有這樣，公司才不會在未來可能的 大規模IT事故前，被動地採取應對措施。