公有雲安全探索中尋求破題之道

也許有一天，雲安全廠商和雲服務供應商將說服企業的CIO們，可以放心將企業安全敏感性資料和重要程式從私有雲搬家到公有雲平臺，但不幸的是，這一天還遠沒有到來。

筆者專訪的資訊安全從業者、顧問和分析師表示，雲安全廠商和雲服務供應商在公司資訊化應用方面，還有很長的路要走，在公共和私有雲混合部署前，他們需要為企業客戶提供一個便捷、安全的公共雲空間。

公共雲安全問題已經成為全球公司資訊化轉型的關鍵

關於企業IT部門將非敏感性資料存儲放入公有SaaS平臺的問題，業界人士表示，如果放入類似Salesforce公司這種可信實體的話，大約要耗時六個月到兩年不等。

因此，企業對安全問題的思考，毫不猶豫地附加在公有雲平臺上。 什麼成為了阻礙公共雲發展的關鍵？ 針對IT專業人士進行的一項雲計算跟蹤民意調查顯示，有如下四項重點：

1.如何確保多租戶通過虛擬網路通信管道使用的安全;

2.移動互聯時代如何保證使用者通過移動終端使用公有雲的安全性;

3.是否有成熟的擴展現有身份認證和存取控制機制，在企業使用者使用公有雲過程中，提供相對一致的路徑;

4.當資料需要修改時，如何信任的加密和標記化模型，以充分保護敏感性資料存儲在公共雲的安全。

這些潛在的安全問題，構成了一場雲時代公司資訊化的技術辯論。 安全方面的技術問題是複雜事實，公共雲供應商卻是出了名的演說家，他們不願提供其基本安全實踐的標準和案例。 對於一家企業使用者而言，雲服務提供者需要有保密等基礎服務，這對於使用者審計及規定的巡查是極其必要的。

同時，所有受訪者均表示，對從事公有雲安全服務的企業表示有信心，根據目前雲安全企業在私有雲的佔有力度，公有雲平臺預計也將達到一定水準。

成長的煩惱

布勞恩瓦卡數位媒體公司(Waka Digital Media)總裁兼首席運營官Jacob . Braun表示，該公司正在從事公有雲的託管安全服務及顧問諮詢工作，相比之前的起步階段，目前他們在美國一些地區已經得到了發展。

「公有雲就像一個天才少年搬到新的社區群體中，他的與眾不同讓別人看起來不可思議，人們因為這種好奇而感興趣，進而關注並預測其未來發展。 給他多一點時間，大部分人都會瞭解天才的知名度。 」 博朗說。 分析師、顧問和客戶也談到，他們從這些廠商中，正在尋找公有雲安全的破題之道。

前思傑公司CTO和創始人Simon.Crosby也表示，在使用虛擬化產品方面，他們開始尋求建立安全的移動用戶端。 「今天修建的公共雲結構實際可以承受比任何私人網路都嚴重的攻擊。 」Simon.Crosby比說。

但根據雲安全研究機構調查，IDC安全產品專案使用者卻不看好這一點。 當被問及是否認為雲供應商的架構可以比自己的私有雲安全時，只有三分之一的受調查者表示認同。 然而，那些已經部署好公有雲和混合雲的企業使用者，卻有一半以上一致認為，供應商提供的服務比他們各自的IT團隊安全。

EMC公司虛擬雲諮詢服務經理Richard Rees談到，有一些企業的業務工作負載，可以大大提高他們推到公共雲的安全態勢。 例如，在IDC的調查中，受訪的250家中小企業中，有30%在雲平臺使用了最流行的資訊安全軟體。 Rees說：「在公有雲中，IT安全管理員可以更加快速便捷的瞭解數位簽章、公共/私人金鑰加密、安全電子郵件等安全參數，這種高水準的保護方式，是以前所不能達到的。 」

雲安全的落地思考

公共雲業務模型的關鍵在於對動態的環境，它可以承載許多不同的工作任務，可以隨意移動和優化底層的基礎設施。 使用者要確保有關資訊控制的到位，以保護他們的資料免受攻擊，並希望通過查看有關控制項的資訊，形成一個非常精細的安全管理系統。

ISACA 2011年的調查顯示，45%的人認為雲計算的風險多於其有益一面

但這種詳細程度往往是大多數公共雲供應商商業模式範圍之外的。 公共雲供應商對安全實施細節守口如瓶。 他們不想透露安全的做法，以避免暴露其競爭優勢;另外，他們不希望將安全風險暴露在媒體的聚光燈下。

因此，一個管理妥當和配置合格的公共雲應用程式能夠達到很好的安全性。 安全已經成為雲計算在公司資訊化發展中的關注重點。 安全也一直被說成是私有雲固有的好處和公有雲的基本缺陷。 實際上，事實比這些情況暗示的還要模糊不清。 斷言公共雲環境有公司資訊安全的缺陷，不認真考慮如何緩解這些不安全因素，似乎是不負責任的。

公有雲安全從來都不是一個非黑即白的簡單問題，尋找公有雲安全的破題之道，落地的做法是詢問必須採取什麼行動才能實現在時間、預算的條件下，盡可能保證應用程式在公有雲平臺環境中實現安全運行的目標。

(責任編輯：劉芬)