华云数据:云安全不是问题,问题是云在解决安全问题

  近日,华云数据宣布获得了1亿美元的C轮融资,从而创下国内云计算企业融资新记录。同时,华云数据宣布与合作伙伴正式启动10亿人民币云生态投资基金,将重点对云计算、大数据领域的企业级服务企业进行财务投资。这无为中国蓬勃发展的云市场带来了更为火热的气氛。

华云数据CEO许广彬

  
华云数据CEO许广彬表示:“经过五年的开拓与沉淀,华云的产品和服务已经做到全线覆盖原有全部业务需要,并且持续开发和推出新的立体化产品链。” 华云数据希望成为国内云计算市场最大的独立服务提供商。

  不可否认,中国云计算市场的前景空间巨大,这也为华云数据带来可期的前景。但是,近年来已经有包括阿里、腾讯等众多云服务商的云服务出现安全问题,云安全也成为业界最为关心的话题。尤其是像政府、大型企业机关这类实施云服务最为积极的地方。云服务如何更好地确保企业信息安全、符合日渐苛刻的企业云计算的合规要求是云服务商们未来发展必须要关注的问题。

  对此,华云数据的相关领导谈了自己对云安全问题的看法,以及华云数据对安全问题的应对。

  云是在解决安全问题

  如今,企业数据中心的复杂程度已经不同于往日,互联设备的种类、数量、链接数等都在爆发增长。在互联网+的指引下,这种爆发会更加激烈。此前很多企业只需管理一个机架的设备,如今需要管理数万台服务器的企业越来越多;此前很多企业只需考虑固定设备的互联,如今BYOD等各种移动设备正在加入企业办公……“现在的企业后台系统和网络牵涉到的设备、系统网络纷繁复杂,有的可能会来自数十个行业、几十个供应商,安全问题已经不完全是自己的事情了。”华云数据首席战略官郁珉认为,企业信息互联体系日益复杂,这给此前的网关边界管理方式带来挑战。“想给如此复杂的异构环境构建一个简单的安全边界,既不现实,时间上也来不及。”

  而云解决方案响应了企业的这种需求。“云计算技术在安全防护上的很多创新,突破了以往很多解决不了的问题。” 郁珉认为云安全本身不是问题,问题是“云在解决安全问题”。

  虽说云技术的引入带来了一些管理成本和安全风险,但是其作用也正如郁珉所说,云也解决了很多此前难以解决的问题。例如,VENOM漏洞风险。VENOM主要影响Xen、VirtualBox和KVM,其利用虚拟机中虚拟软盘驱动器代码的漏洞允许攻击者突破客户操作系统从而主机。在当前虚拟化应用盛行的时代,云供应商打VENOM漏洞补丁则是最快速的修补方法,而事实也证明是云技术是VENOM漏洞最省成本的方法。实际上,在安全领域,利用云修补的漏洞的例子还很多。

  毕竟,信息系统风险是会是一个长期存在的问题,任何一个解决方案都无法做到完美的免疫。当云凭借安全防护上的诸多创新可以取得信息安全图谱的时候,为何不充分接纳一下?

  另外,郁珉也谈到,很多信息安全事故本身和系统没有关系,如操作人员的误操作、违规操作等,而云技术本身在这方面的保障措施也降低了信息安全风险。

  云服务商需符合企业合规约束

  就云安全问题本身来看,一方面是技术的可靠性问题,而另一方面则在于云服务上的服务与企业合规约束匹配的问题。而后者,也往往是政府、大型企业在采用云服务时会更加关心的问题。

  毕竟,随着IT科技的发展,云计算技术在连通性、友好性、安全性、扩展性等各个方面已经相当成熟。这种成熟给云市场的竞争带来很多同质化倾向,如技术趋同、价格趋同、市场趋同等。为此,很多时候云服务商们在宣传自己的产品时说得天花乱坠,但企业并不买账。这背后很大一部分关键原因在于,云服务商的服务是否能满足企业信息安全规定标准。

  单纯从技术上看,云的很多创新解决了企业在新时代遇到的信息安全问题。但是,企业将其业务从传统数据中心迁移至云计算数据中心,这涉及到了企业价值链的重组,这就从企业自身的信息安全上升到在更大范围的所有相关的数据安全。为此,云服务依然要遵从众多监管条例对交付、度量和通信的合规约束,云计算服务用户和供应商都需要理解和掌握当前合规和审核标准、过程和实践的区别和意义。

  据华云数据副总裁CDN事业部总经理于潇洵介绍,华云数据的服务一直在遵循着国家公安部和国家信息中心的相关标准。其实,当前国家标准层面还未涉及针对云安全的具体规定,诸如《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术、信息安全风险评估规范》GB/T 20984系列标准等的发布均早于云计算概念的兴起。所以说,云服务商们对国家层面安全标准的遵守更多来源于企业自律。“我们会依据这些标准,采用定量检查和定性检查,依据这些标准的具体条款,逐条价值我们的服务。” 于潇洵解释。

  随着木马病毒、黑客攻击这类安全风险的增多,网络系统安全的补救措施也需要不断升级换代,为此,云服务商为满足实际的企业需求单纯满足国家层面的信息合规还是不够的。如今,各个行业都开始制定自己的云安全实施标准。在这方面,华云数据首席技术官郑军透露,华云也在参与国家标准、行业规范的制定。“华云有很多实际的案例,这些应用背后有很多通用性。我们既希望我们的服务能满足个性需求,也能包容不同的行业。”

  总之,在今天相关信息安全法规并不完善的情况下,信息服务仅满足国家合规这个底线是不够的,应该上升至提高服务质量层面,满足行业企业合规。而云服务商们在服务质量的比拼,也会成为其在较为同质化的市场局面下与对手拉开差距的关键突破。

  如今,华云数据已经有了海通开元、英特尔、SIG们的鼎力支持,其力图打造的云生态蓝图未来会如何,让我们拭目以待!