(编者按:文中“我”为原作者)
最近,我参加了Gartner公司的安全与风险管理峰会,主要是了解信息安全经理2010年中期议程中最重要的事是什么,因为现在已经到了(希望是 这样)许多企业正走出衰退模式,加强过去搁置已久的安全项目的时候。
虽然总的情况比我预计的乐观,但最让我惊讶的是,安全专家现在言必称云计算。例如,正如我注意到的,大批与会的安全专家被Google的两个企业桌 面安全案例分析所吸引,尽管这两个案例都没有谈论太多的安全。
在一个关于Web安全网关的案例分析报告中,其中一个听众提的问题是,演讲者的公司是否考虑过一个基于云计算的网关。在我同与会者的一对一交谈中, 云计算也常常被提到,云计算似乎是他们最感兴趣的主题之一。
所以,我想说的是:你们是不是都疯了?
我不知道为什么信息安全专家突然变得对云计算如此钟情。也许是他们看见了云计算可以全面节省IT成本的前景;也许是因为云计算只需要更少的内部系 统;也许是他们异想天开的认为云计算可以让公司的数据安全转移,成为别人的难题。
作为对读者的一种公共服务,我会提供一个简单但远非全面的现状核实方法。首先,你应该意识到目前还不存在云计算安全标准,因为云计算本身的标准就还 没有形成。外包的基础设施、平台和软件都需要不同的安全措施。目前市面上有托管的公共云、私有云、混合云和社区云等等,你需要明白这种现状。所以对于云安 全,并不存在一个放之四海而皆准的策略。
还有很多其他更具体的因素值得考虑。下面列举了一些:
◆最近一项针对1800人的ISACA调查显示,近半数的受访者认为云计算的风险大于收益;只有10%的受访者所在的公司打算为关键的IT服务使用 云计算。
◆云安全联盟表示,云计算有7个显著的威胁,分布于所有的服务模式中,那些急于使用云计算的公司往往不能正确的评估风险。
◆对于云计算的可用性、备份、加密、监测、事件响应,这些方面仍然存在着一些悬而未解的重大问题。当然,除此之外还有规则遵从方面的问题,因为当企 业使用云计算服务时,仍然需要遵循适用的规则。
在特别交流会议中,一位安全专家告诉我,云计算给用户带来安全感很少,带来更多的是概念上的晦涩。如果我把数据外包出去,其他数百家公司也同时在使 用相同的外包服务,一旦发生安全攻击,很有可能的是其他人的数据会成为黑客的目标。可悲的是,因为你和其他人一样都在同一个地方隐藏数据,这就意味着它很 有可能暴露。
我要说明一点,我绝不是云计算的反对者。显然,云计算服务正一步一步的证明它们在CRM、ERP、托管的通信和协作、单纯的处理能力等方面的价值。 毫无疑问,云计算将成为未来IT的一大组成部分,安全小组应开始考虑如何确保云计算服务的使用安全,因为这将是几乎所有公司都必须做的事情。
我的意思是,你应该是一个怀疑主义者,一个在企业决策者决定是否投资一项新技术时提出警告的人,特别是当短期和长期的安全问题未知的时候。这并不是 一个可以互换角色的时候。
所以,我敢这样说:尽管云计算看起来似乎很“性感”,但你千万不要轻易的就被所宣传的低价服务和高安全性所诱惑。你必须意识到的一点是,当涉及到云 计算安全时,我们原来的困惑依然存在。