2011年对于云计算来说,将是突破的一年,因为业界预期今年将会有不少企业从观望转向真正采用该技术。
预计未来12个月中,将有越来越多的企业采用云技术,其中涉及到的包括架构即服务(IaaS),平台即服务(PaaS),软件即服务(SaaS)以及私有云。
然而,在云计算安全性方面,大家头上都悬着个问号。云计算将企业数据存放在企业防火墙外的数据中心,并通过互联网进行访问的概念,确实让很多企业都觉得不靠谱。
虽然对于任何企业技术项目来说,安全性都是需要考虑的,但由于在云技术中,数据的移动,存储和访问都与以往有所不同,因此它的安全性问题就显得比别的技术项目更重要了。
企业应该对云计算安全性担忧吗?
与传统技术项目相比,云计算确实引出了一系列新的安全问题,但是从专家角度看,云计算实际上要比传统技术项目更具安全性。
Ovum 首席分析师Graham Titterington认为,云计算供应商对于数据安全的重视程度远高于普通企业的内网安全管理人员。
Titterington 说:“大多数企业内部安全技术人员都无法像云服务供应商那样提供优质的安全服务,云服务供应商不但具有专业的安全水平,而且具有一定的信誉,这在行业中非常重要。因此一旦某个服务商出现了安全问题,那么该服务商的业务将遭受毁灭性的打击,尤其是目前这种大部分企业都在观望的时期。”
他又补充说:“对于目前大约95%的企业来说,采用云服务所实现的安全性要比他们自己在企业内部搞的安全系统更加可靠。黑客们入侵企业内部服务器的难度要远低于入侵云服务环境中的服务器。”
Quocirca 公司经理 Bob Tarzey表示,在企业防火墙内部建立一个私有云架构,并不会带来什么额外的安全隐患,而仅有的安全问题可能是关于虚拟机的,但这方面的问题大部分早就已经得到解决了。
Tarzey同意 Titterington 的观点,他也认为专业的云服务提供商所实现的安全性要高于普通企业自己的安全系统,他说:“企业很容易忽略的一个问题就是,云服务供应商所使用的架构是最先进的,位于高级的数据中心,这远比企业在自己的内部网络搭建的安全系统要安全的多,更能满足企业对业务连续性的需求。”
Field Fisher Waterhouse 律师事务所的总经理 Eduardo Ustaran 同样认为云计算所涉及的数据安全问题不会比将企业IT服务外包出去所面临的安全风险更大。
由于云计算是将数据备份在不同的位置,因此会比传统方式有更大的安全性。
Ustaran 表示,从客户的角度看,这样会感觉更容易失去对数据的控制,他说:“面对潜在客户,云服务供应商必须非常小心面对这一问题,让客户明白供应商所提供的安全性远非他们之前所想象的那样。”
虽然云服务供应商能够实现高等级的安全性,但是企业在向云服务迈进之前,仍然需要注意一些问题,从而尽可能安全的实现云计算。
数据的移动
传统的企业内部计算与云计算的不同之处在于,后者需要通过互联网将数据在云供应商和客户间进行传送,而一些企业认为这个过程有可能出现安全隐患。
实际上,如今的网络技术已经能够让企业在互联网上传输数据时确保数据安全,不被恶意份子监控和截获了。
Ustaran 在回答ZDNet 记者采访时表示:“如今的网络已经越来越安全了,与以往开放式的网络相比,现在通过网络传送数据的安全性很高。”
Ovum公司的Titterington 补充说:“ SSL- 和 VPN-类型的技术可以很好的在公众网络上进行数据安全传输。”
对数据进行加密,是数据在客户和服务供应商之间传递时提升安全性的另一种方法。这意味着数据无论是在企业内部还是在向云服务环境移动过程中,或者存储在云服务环境,都是安全的。
云架构的物理位置
数据的物理移动和存储也是有严格的法律要求的,因此在讨论云计算时,这一点不能忽略。
比如,在欧洲,个人数据只能被出口转移到其它欧盟国家,比如签署有安全港协议的美国。
如果云服务供应商将企业的数据备份在两台位于不同位置(一般不是在美国,或者在不同的国家)的服务器上,企业可能就会担心数据最终是否会丢失。
这种担忧虽然不无道理,但是可以通过与服务供应商的谈判得到解决。
Field Fisher Waterhouse 的Ustaran 表示:“不论数据存在世界哪个角落,只要具备良好的安全性,地理位置就不应该成为什么问题。”
Titterington认为,企业应该确定他们的数据被保存在无安全港协议地区的可能性。他说:“企业能否从供应商那里得到所需的保证?供应商是否拥有类似的安全港协议,或者正在与那些地区签署类似协议?”
一旦企业很高兴的看到供应商能够提供相应材料,他们就会很乐意的签署相关的云服务协议,因为他们知道自己的数据在迁移时能得到保证。
Titterington 认为,如果数据在传输和存储过程中都经过加密,那么就不用担心其存储在第三方数据中心的安全性问题了。如果除了企业自己,其它机构和个人都无法解读数据内容,那么数据移动也就没有太多的安全性要求了。
运供应商知道企业担忧数据存储的地理位置问题,以及相应数据的安全新问题,因此在主要市场通过更多的开设云数据中心的方式来解除企业顾虑。
确保存储在云环境的信息安全
一旦数据到达了云平台的存储位置,就开始进行下一步数据安全措施了。Titterington说:“一般来说,实际的传输阶段是担忧最少的阶段,这时用户所关注的是数据到达后会被如何存储。”
Titterington 认为,对于云技术来说,访问控制技术的运用是至关重要的,他说:“访问控制必须被重视。云服务的大门永远是面向互联网的,不论采用的是软件即服务(SaaS),平台即服务(PaaS)还是架构即服务(IaaS)模式。在开放环境和企业数据之间只有访问控制机制在起作用。”
Ovum 建议机构将访问控制集成进他们自己的云服务中,这样内部和外部的身份认证和登录系统将同步进行,减小了出现安全风险的机会。
企业同样需要确保他们能够得到最新的数据访问记录。这个策略意味着,一旦用户离开办公环境,他们的接入权限马上会被收回,这样他们就不能从办公地点以外的非授权系统访问云服务。
和数据传输过程一样,数据存储时同样需要进行数据加密,以提高信息的安全性。
Ovum的 Titterington 表示,有些加密技术允许企业将数据加密所使用的密钥保留在云环境中,这样,只有具有完全控制权限的人才能够在虚拟机中查看解密的信息。
Titterington 说:“目前已经有针对云环境的数据加密技术了,企业都应该考虑使用。”
企业所考虑的另一个有关云环境下数据存储的问题是,有可能与自己的数据存储在相近空间,或者存储在紧邻的虚拟机中的,就是竞争对手的数据。
而分析人士表示,数据混杂存储甚至被错误的用户访问的情况基本不会发生。
Field Fisher Waterhouse的 Ustaran表示:“我还从没见过那个服务提供商会将不同客户的数据混杂在一起,并被错误的客户访问。”
Titterington 也补充说:“对于绝大多数机构来说,他们建立云架构时使用的技术和架构就是用来防止出现数据交叉感染的。”
符合监管的云
在考虑采用云服务时,企业首先要考虑的是自己的哪个业务流最适合采用云服务,并牢记符合监管部门的规章制度,如Sarbanes-Oxley法案。比如,财务信息一般被看做不适用于云计算,因为与其它方面的信息来说,有太多的监管制度围绕着财务信息。
Titterington认为,云服务供应商正好趁这个机会更详细的介绍他们的安全方案,因为客户提供的其它信息并没有那么严格的监管要求。
他说:“对于那些需要非常详细而严格审批报表的企业,供应商是很难拿出有关云服务的正规的符合审查要求的文书的。因此,作为云服务供应商,你对于这类企业的吸引力是很有限的。”
Quocirca的 Longbottom 表示,企业都需要根据规章和监管要求对自己的数据进行分类。数据的类型可以包括公开,商业,保密,以及机密。
之后就可以针对不同的信息制定策略了,比如哪类数据可以分布存放,是否可以被打印出来。在云计算方面,企业需要云服务提供商能够支持这种数据分类方式和对应的策略。
Longbottom 说:“由于不受网络,平台或设备的限制,这种数据分类方法可以很好的适应云计算环境。”
Field Fisher Waterhouse的 Ustaran 认为,云服务供应商可以选择将欧洲数据保护条例作为他们的服务标准提供给客户,这样客户在与供应商洽谈前就知道他们的数据将会符合监管要求。
他补充说,企业和供应商需要找到一个既能满足数据安全和监管要求,又能实现足够的灵活性的平衡点。供应商将根据这个平衡点提供相应的服务。
Ustaran 表示:“合同应该注重现实,而不是设立过多的法律条款,这样供应商将受到太多限制而无法为用户提供所需的服务。”
从云中取回数据
企业面对云计算时需要考虑的最后一方面内容是,如果以后决定更换云服务供应商,那么该如何从前一个供应商那里把自己的数据取回来。
Quocirca的 Tarzey 认为,企业要考虑的关于云计算的几件大事之一,就是企业数据在未来的情况。
企业应该考虑他们如何将数据从云架构中取回,并确保所有数据备份都从供应商的服务器中删除了。
Titterington 表示:“如果你不能简单方便的将你的数据取回来,那么你就算是跟这个服务商绑定在一起了,不论他怎么样你都离不开了。这是任何企业都不愿意见到的。”
因此企业在选择云服务供应商时一定要将这个问题提出来,他说:“提出所有恰当的问题,并将所有的服务承诺列在合同中。”
网络的最后一公里
当然,这些考虑都是必须的,但是是不是我们对于这些外部因素关注的太过分了?CIO们是不是过多的担心按需问题,而忽略了他们的管理问题,以及所谓的网络最后一公里的问题?
IT 领导者们可以花费时间和金钱来与供应商建立强大的合作关系,以达到紧密的信息安全和数据访问需求。但是任何来自外部的合作,以及根据需求所使用的外部技术,都要在内部架构支持的前提下才能发挥应有的价值。
其实云计算最关键的是网络连接。如果你的公司整体迁移到云计算平台,那么所有员工都需要确保所使用的程序以及信息都是可访问的。因此,网络的最后一公里,才是云计算普遍应用的关键。
高速宽带接入点是关键
支持这一观点的Quest Software CTO Joe Baguley认为,如果没有高速宽带接入,任何对于云计算的尝试都会失败。因此,这个宽带接入点将成为云计算的关键点。他说:“我们仍然没有像样的随时随地的互联网宽带接入能力,因此仍然要考虑离线状态的企业运作。”
这是一个盲点。在有关云计算的讨论会议上坐两个小时,你可能听不到一句有关于此的讨论,却能明显的感觉到所有CIO都在关注外部的问题,比如信息安全和法规遵从性。这种忽视的状态必须被纠正。
Baguley 认为:“从企业的角度,如果你将企业应用迁移到外部云服务平台,那么你势必将所有办公应用连接到互联网,这样一来,原先大量在内网传输的数据就不得不穿过防火墙,进入运供应商那里。”
一旦在网络上出现任何有关云计算的相关问题,那些做好了完全准备的CIO们在采取任何手段应对风险时,所依赖的就只是这一小段稳定而高速的网络了。
云风险和企业需求
工程咨询公司Hurleypalmerflatt的CTO Robert Thorogood,表示,IT经理必须考虑到企业需求和风险相关成本之间的关系。他说:“问题总是集中在如果硬件或软件出现故障,企业会受到什么影响上。”
“不同的企业能承受不同程度的风险。对于财务公司来说,丢失订单(不论是何种原因)之类的潜在风险是非常大的。任何CIO都必须明白,对业务失去控制意味着什么。”
只有明白这个风险,CIO们才能开始认真对待云技术。虽然这项技术仍然处于起步阶段,但是按需计算能够用高效率的方式将员工与信息连接起来。对于Star Technology Services的前任CEO John Adey来说,处理网络最后一公里的问题其实就是创造一种平衡。
他认为:“最大的机会位于希望永久在线与提供所需能力之间的平衡点上。云技术是令人兴奋的。它让IT变得更加有活力,也让人们对于IT的未来更加充满希望。”
虽然宣传的很火热,但是我们还是要回到现实。研究机构 Gartner建议广大CIO在2011年将云技术作为首要技术热点,但同时该机构也认为企业目前对于按需供给的技术都还处于尝试阶段。
云普及率较低
仅有3%的企业 CIO将他们大部分的IT架构迁移到了云服务平台或采用软件即服务(SaaS)技术。而尽管未来几年里,按需技术将有长足发展,我们可能仍然很难见到服务的大范围应用,以及网络最后一公里问题被解决。
Bird & Bird 贸易部法务官Barry Jennings认为,企业向云技术转换,需要有关键的供应商获得企业的信任,企业才能将控制权交予供应商。这其中需要解决很多关键性的问题。
“按需服务何时才能真正应用?它是否适合企业关键信息和系统?比如政府希望知道,如果通过云技术降低成本,是否会带来太多的风险。对于云技术,潜在的用户很多,但是做到按需服务还需时日。”
Westminster City Council的CIO和IT经理David Wilde 对此作了总结,即知道按需服务在IT行业普遍实施,云计算的时代才真正开始。
他表示,对于信息的关注是清晰和容易理解的。而目前改变的,正如Gartner所发现的,是企业真正想购买和使用云服务,但是供应商还没准备好。
云计算潜在的业务准备和深入服务
Wilde 说:“你要么选择公众云,同时别去担心你的数据被保存在了哪里,或者你可以购买自己的私有云,当然费用很昂贵,还需要系统集成。市场需要通过云平台提供完善的业务准备和深入的管理服务,这是企业服务买家所需要的。”
但是随着未来几年云计算将爆发式发展的宣传, KPMG 顾问Steve Salmon 也表示,企业CIO们必须考虑企业内部和外部的环境,看是否能够与云供应商形成合适的伙伴关系,同时网络最后一公里的问题也至关重要。
他说:“你已经购买了一个弹性云服务,具有按需服务能力,并且具有扩展性,但是你的网络连接能够支持这种服务模式吗?企业在考虑云服务时,需要看看自己是否拥有灵活的网络接入能力,让他们有能力充分发挥按需服务的特色,从而真正降低运营成本。”
根据企业现有的接入状况, Salmon认为大部分企业都需要更新接入连接,而这需要6-9个月时间。他说:“随着越来越多的服务迁移到云环境,企业应该注意他们的内部网络,确保内部网络能够提供富媒体内容,满足高质量服务的需求。”