你完全可以闭上眼睛,假装云计算并没有出现在面前——许多CIO就是这么做的,不过我们还得面对这个事实:“云计算与我们同在。每个人很快就会用它。”
至少这是Jim Haskin及其他业内人士的预言,Jim Haskin是总部设在圣迭戈的数据安全提供商Websense公司的CIO。
这是让人害怕的想法吗?对许多CIO来说,确实如此。Kirill Sheynkman是总部设在旧金山的Elastra公司的CEO,该公司开发目前与亚马逊的云计算服务部署在一起的应用软件。他说:“人们一提到云计算,就感到恐慌。”那么,这种恐慌有根有据吗?就因为越过防火墙带来的那些安全问题?
Sheynkman不以为然。他说:“安全不是什么问题。你觉得贵公司的IT部门比亚马逊还要了解数据安全吗?”
还是面对现实吧:“云计算环境中的数据安全与远程数据中心中的数据安全没什么不同,” 芝加哥的IT咨询公司Compass的高级顾问John Lytle如是说。
在许多情况下,大多数公司的数据“在自己的环境下比在精心管理的云计算环境下还要来得岌岌可危,”Cloudworks公司的CEO Mike Eaton说,总部设在加州千橡市的这家公司提供基于云计算的服务,主要面向中小企业。
有能力控制吗?
几大云计算服务商:亚马逊、谷歌和Sun对确保网上安全非常在行;有鉴于此,有些人担心外面的人攻破安全这道墙、对自己的数据为所欲为,这确实似乎没有必要。Sheynkman说:“人们担心过头了。”
Haskin进一步叙述:“云计算环境中的数据安全应该不是问题。”我们需要询问其他问题,以便弄清楚为什么我们害怕云计算、为什么CIO这个群体对云计算采取抵制态度。不过CIO们也许应当打消这种心态,因为剩下的时间不多了。
总部设在加州芒廷维尤的Dreamfactory公司开发基于云计算的应用,这家公司的首席技术官Bill Appleton敲响了警钟:“云计算可能会跳过IT部门这个环节,直接向最终用户促销。它可能完全跳过IT部门的指挥和控制系统。”
而这也许是应当要担心的问题。这是因为,CIO的噩梦主要针对员工未经授权就擅自使用公共云计算资源,他们可能会把公司内部的敏感数据放在网上的电子表格或者幻灯片里面。
全球IT基础设施提供商Terremark Worldwide公司负责安全服务的高级副总裁Christopher Day说:“大多数CIO主要担心员工把不应该公之于众的数据放在公共地方。”这种担心不无道理。如果董事会发现自己公司的战略方案居然放在公共云计算环境、谁都可以看到,会有怎样的表态呢?但Day也表示,CIO们只要采取一种直接的方法,就能排除这个重大的安全隐患。
Day说:“只要把明确的政策落实到位,然后向员工传达这些政策。”
应当正视现实,迎面着手解决这个问题。这就是消除这个风险的办法。还要明白上传敏感数据的员工通常出于好意。他们只是在寻找更有效的工作方式。Day补充说,所以也要关注其他更安全的方式,以便满足员工的正当要求。如果采取了这两个步骤,贵公司里面云计算导致的影子IT(shadow IT)极可能会销声匿迹。
保护登录安全
云计算方面另一个久久挥之不去的阴影就是,许多提供商的登录机制太原始、太简单了。开发数据安全工具的芝加哥Aladdin公司的总经理John Gunn断然预测:“除非安全得到大幅增强,否则大企业不会积极采用云计算。”这里担心的问题是,如果使用功能基本的登录机制,传统的社会工程手法就可以让黑客明白员工的登录信息,结果数据泄漏事件难免会随之而来。
不过Gunn表示,解决办法很简单:企业应当只允许数据迁移到使用双因子强验证技术的云计算环境。在这种环境下,黑客恐怕就无法近身。Gunn认为,只要采取了这个步骤,大公司反对云计算的阻力基本上就会马上烟消云散。大多数主流的云计算服务提供商在这个问题上踌躇不前,不过Gunn表示,如果有足够多的用户呼吁要求采取防范措施,云计算服务提供商会积极响应。
现在该怎么办?
跨国安全公司趋势科技的首席技术官Raimund Genes说,最后一大问题是,特别是在如今经济不稳定的形势下,云计算服务提供商有多久的生命力?“你需要至少三年内不会破产或失败的提供商。如果你把自己的IT基础设施交给对方,就需要靠得住的服务服务器。”如果云计算服务提供商破产,如何可以访问你的信息?谁可以访问?最好选择一家有雄厚资金、有能力参与长期竞争的云计算服务提供商,那样根本用不着为这类问题而操心。
Elastra公司的Sheynkman为仍在为云计算环境里面的数据而苦恼的CIO们提出了最后一条忠告,他提醒我们:“这不是什么极端的问题;没必要这样。单单把你觉得没什么问题的数据放在云计算环境上。大多数公司似乎正在这么做。我们仍处在试验、摸索的阶段。”
在这个初期阶段,迈的步子要小些,但应当开始迈出几步,这才是积极接受云计算的明智方式。