云计算以其廉价、快速、弹性、共享等特性受到越来越多企业的青睐,但来自于许多专业调研机构的报告都显示用户采用云计算的最大顾虑是云计算的安全问题。众多企业都认为云计算的“资源共享”会涉及很大的安全问题。
中国医药集团信息化专家组组长、信息部主任雷万云博士曾经在一篇文章中指出,任何信息化建设都存在着安全问题,安全问题在云计算产生之前就存在,没有必要单独把这个问题扩大化。并给出了建议:“对于企业私有云,在传统的信息安全管理技术基础上,再利用一些新发展的云安全技术是完全可以的,因为整个运作是在企业的防火墙以内的。而对公有云,整体安全情况则需要逐步完善。各方逐步完善、规范SLA服务等级协议来确保用户的利益得到保障。”
谈及IT系统安全,通常会想到诸多设备。但对于企业来说实质上的需求是“业务安全”,不是设备,也不是软件或其他什么服务。企业真正需求的应该是能理解业务,并将安全与业务相融合的业务安全管理运维。而如身份认证、安装补丁、漏洞扫描、系统评估,配置核查等,乃至对相关安全事件的响应等等均是其中的实现方式。而目前这些实现方式却占用了企业大部分精力,使企业没有精力去规划业务和安全策略的融合。
移动化、云计算这些技术趋势使企业的IT系统越来越复杂。业务创新性和精细化等需求也直接影响着作为支撑业务的IT系统发展,因此面对的安全问题也越来越多。
与传统IT环境安全比较,云计算特有的安全问题主要有三个方面。
第一是虚拟化环境下的技术及管理问题。传统的基于物理安全边界的防护机制难以有效保护基于共享虚拟化环境下的用户应用及信息安全。另外就是,云计算的系统如此之大,而且主要是通过虚拟机进行计算,一旦出现故障,如何快速定位问题所在也是一个重大挑战。
第二是云计算这种全新的服务模式将资源的所有权、管理权及使用权进行了分离,因此用户失去了对物理资源的直接控制,会面临与云服务商协作的一些安全问题(主要是信任问题),如用户是否会面临云服务退出障碍,不完整和不安全的数据删除会对用户造成损害,此外,如何界定用户与服务提供商的不同责任也是很大一个问题。
第三,云计算平台导致的安全问题。云计算平台聚集了大量用户应用和数据资源,更容易吸引黑客攻击,而故障一旦发生,其影响范围更多,后果更加严重。此外,其开放性对接口的安全也提出了一些要求。另外,云计算平台上集成了多个租户,多租户之间的信息资源如何进行安全隔离、服务专业化引发的多层转包引发的安全问题等。
在安全防护体系上,需要构建包括底层架构安全(通过完善、规范服务器虚拟化安全、网络虚拟化安全、存储安全、高可用性要求以及虚拟化安全管理相关配置要求,构建逻辑安全边界,保障虚拟环境安全。)、基础设施安全(完善对底层资源的调度和分配机制,防止用户对底层资源的过度占用;引入沙箱隔离技术,实现不同应用程序间的相互隔离)、运营管理安全(通过动态的安全环境来提高他的安全性)、信息安全层面(通过数据的隔离,加密传输,加密存储这些技术手段为用户提供端到端的保护)。
既要面对日益增多的安全问题,又要去理解业务以制订更好的融合管理策略,企业IT部门该如何应对?目前有许多厂商提出以SaaS的形式去解决安全问题。把很多复杂性工作交给服务供应商去解决,以使企业的IT安全管理人员有更多的精力去理解业务。
SaaS云安全模式为中小企业安全防护提供了一种新选择,SaaS云安全服务是通过云服务方式把安全保护的能力提供给企业。对用户企业而言,这种类似租赁的模式省下了很多软硬件购买成本,并能实现即时按需的保护。并且解决了很多中小企业因为专业人员和资金的缺乏而无法实现有效的安全防护。
寻求专业的云安全服务商,设计出符合企业自身业务特性的云计算安全计划也是很有必要的。云计算不仅意味着技术的变革,也是商业模式的变更。如何通过云来实现更敏捷的业务模式,将是企业成功的基石。