雲端其實比本地系統更安全

我同很多傳統IT行業中的人進行過交流，我把他們叫做「抱臂幫（folded arms gang）」。 這些人都是IT執行人員，需要處理雲計算的使用問題，而且典型的是因為CEO或者他們的董事會成員要求這樣做，但是還感覺雲計算還有太多毛病。 他們想瞭解雲計算，但是對於使用卻並沒有信心。

好消息在於「抱臂幫」的成員人數隨著雲計算不斷證明其價值正在減少。 然而，雲端圍繞安全和隱私問題的爭論還是時常發生。 雖然有一定的情感因素，有時候是政治因素在作祟，但是你必須在企業中圍繞實際的問題和真正的風險教育這群人。 實際上，我已經發現通常而言，雲要比傳統系統更加安全。

根據Alert Logic2012年秋季的雲安全現狀報告，威脅活動的變化在本地基礎架構上並沒有那麼重要，任何可以從外部實現的訪問——無論企業端還是雲端——被攻擊的機會是均等的，因為攻擊本質上就是投機。

這份報告進一步指出了基於Web應用的攻擊同時攻擊服務提供者環境（53%）和本地環境（44%）。 然而，本地環境使用者或者客戶實際上比那些服務提供者環境中的使用者或者客戶遭遇了更多攻擊。 本地環境使用者平均攻擊為61.4起，而服務提供者環境客戶平均攻擊為27.8起。 相比較而言，本地環境使用者也遭受了更為顯著的蠻力攻擊。

無疑，存在一種迷思，即雲計算內在的就比傳統方法缺少安全。 那些偏執分子認為這種方法本身就是不安全的，因為要將你的資料存放在非自己且無法控制的伺服器和系統上。

然而，控制並不意味著安全。 正如我們在這份報告中看到的，在最近今年的攻擊發生率上看，比資料的物理位置更重要的是訪問方式。 這是基於雲的系統和傳統企業計算同時面臨的情況。 此外，那些為企業構建了基於雲的平臺的人通常比那些在防火牆內構件系統的人更加關注安全和治理。

沒有按照相同的嚴格的安全標準而構造的系統並不意味著安全，不管是否在雲端都是如此。 因此，最佳的實踐就是關注定義良好且可執行檔安全性原則，採用正確可行的技術。 而不是關注平臺的區別。

我給出的建議包括三個步驟：

1.針對具體的系統和/或資料存儲，理解安全和治理需求。 很多圍繞雲或者傳統系統部署安全的人並不理解他們在試圖解決什麼問題。 你需要提前定義這些內容。

2.要理解控制訪問的重要性遠大於資料存儲位置。 關注資料如何訪問，尤其要關注資料外泄了怎麼做。 再次重申，大多數資料外泄都是弱點所在，不管是否在雲端。

3.最後，脆弱性測試完全有必要，不管你是測試基於雲的安全還是傳統系統的安全。 未測試的系統就是不安全的系統。

我懷疑我們圍繞安全想的都不一樣，而且我們部署的雲更多的是基於公有雲的系統和資料存儲，而且這種現象還會持續下去。 然而，沒有正確的計畫和良好的技術，基於雲的平臺會更加有風險。 同樣的事情也會發生在現有的系統上。 天下並沒有免費的午餐不是嗎？