2013年云計(jì)算風(fēng)險(xiǎn)問題或愈加顯著
企業(yè)或出于降低成本,或出于創(chuàng)新的驅(qū)動(dòng),正不斷邁入云計(jì)算。特別是在國(guó)內(nèi),政府對(duì)云計(jì)算發(fā)展重視有加,政策、資金不斷下發(fā)促進(jìn)了云計(jì)算產(chǎn)業(yè)的發(fā)展。近期,有消息指出工信部正在加緊編制云計(jì)算產(chǎn)業(yè)發(fā)展指導(dǎo)意見,并有望于2013年兩會(huì)后正式出臺(tái)。因此2013年對(duì)于云計(jì)算而言,將是大力發(fā)展、加速普及的一年。
對(duì)此,賽門鐵克大中國(guó)區(qū)技術(shù)支持部總監(jiān)李剛認(rèn)為,隨著云計(jì)算發(fā)展步入縱深,安全風(fēng)險(xiǎn)問題將逐步揭露并在2013年日益顯著,但隨著業(yè)界重視程度不斷增加,云服務(wù)和產(chǎn)業(yè)環(huán)境將會(huì)向更安全方向演進(jìn)。無獨(dú)有偶,分析機(jī)構(gòu)Gartner報(bào)告預(yù)計(jì),云計(jì)算的增長(zhǎng)將會(huì)成為2013年各種安全趨勢(shì)的推動(dòng)力量,也從側(cè)面印證了2013年將是云計(jì)算安全發(fā)展的重要一年。
影子IT擴(kuò)大安全風(fēng)險(xiǎn)
目前,云計(jì)算所遭受的質(zhì)疑聲中,最受關(guān)注與最大的挑戰(zhàn)便是安全。眾多研究報(bào)告指出安全是阻礙企業(yè)邁向云計(jì)算的首要因素。同時(shí)對(duì)于眾多中國(guó)企業(yè),出于長(zhǎng)期自建自用IT資源的思維所致,當(dāng)前對(duì)云計(jì)算服務(wù)模式接受度并不高,對(duì)數(shù)據(jù)安全性、泄露風(fēng)險(xiǎn)等顧慮重重。這在李剛看來,其實(shí)可以轉(zhuǎn)化為企業(yè)如何衡量企業(yè)IT部門與業(yè)務(wù)部門的價(jià)值比重問題。
“企業(yè)決策者需要考慮IT系統(tǒng)本身的價(jià)值和首要價(jià)值是什么,其次,明確企業(yè)自身提供的核心價(jià)值輸出是什么。”李剛表示,當(dāng)IT部門是企業(yè)競(jìng)爭(zhēng)力的重要體現(xiàn)時(shí),可以通過云的方式將非核心價(jià)值部分交付給云服務(wù)供應(yīng)商,從而可以集中更多資源集中在競(jìng)爭(zhēng)價(jià)值上。
企業(yè)通過云計(jì)算服務(wù)模式使其不用擔(dān)心自建IT設(shè)施所花費(fèi)成本,并提升信息化水平,對(duì)于廠商、供應(yīng)商而言,也能創(chuàng)造更多的市場(chǎng)機(jī)會(huì),是一個(gè)雙贏的選擇。但鑒于云計(jì)算仍處于發(fā)展初期階段,還需要一段時(shí)間進(jìn)行企業(yè)思維模式轉(zhuǎn)換及市場(chǎng)培育。
同時(shí)對(duì)于即將或已將進(jìn)入云的企業(yè)而言,企業(yè)需要意識(shí)到云進(jìn)入到企業(yè)內(nèi)部后為企業(yè)帶來的安全管控變化。目前隨著企業(yè)可以選擇的云服務(wù)逐漸增多,并且比傳統(tǒng)IT系統(tǒng)使用起來更為方便,并有利于公司業(yè)務(wù)的快速響應(yīng),一些企業(yè)部門、個(gè)人便放棄了需要長(zhǎng)時(shí)間開發(fā)的傳統(tǒng)IT服務(wù),轉(zhuǎn)投立即使用的外部云端服務(wù)。源于此,也出現(xiàn)了許多不受IT部門管控的影子IT服務(wù)(Shadow IT)。這在李剛看來,這些影子IT并沒有融入企業(yè)IT治理的合規(guī)流程,在將企業(yè)數(shù)據(jù)托管在云端服務(wù)器的過程中,合規(guī)評(píng)估、風(fēng)險(xiǎn)評(píng)估將變得十分困難。
李剛舉例表示,目前許多企業(yè)人員都喜歡采用Dropbox云端存儲(chǔ)服務(wù)方便地隨時(shí)存取檔案,但其中很可能將公司一些項(xiàng)目敏感數(shù)據(jù)、設(shè)計(jì)、知識(shí)產(chǎn)權(quán)等信息脫離公司管控。這對(duì)于企業(yè)而言將是一個(gè)很大的風(fēng)險(xiǎn)泄露渠道。據(jù)國(guó)外一家存儲(chǔ)管理軟件公司Nasuni最近針對(duì)企業(yè)使用Dropbox的調(diào)查報(bào)告顯示,受訪1300多位商業(yè)人士中,每5人就有1人在工作中使用Dropbox存儲(chǔ)商業(yè)文件,而且大部分人員均繞過IT部門私下使用,其中,高層主管還是最大的使用族群。
在上述情況下,企業(yè)既不能不允許采用影子IT服務(wù),因?yàn)楹芸赡芨?jìng)爭(zhēng)對(duì)手也正在采用此類云服務(wù)以提高生產(chǎn)效率,但采用后,又存在許多潛在隱患。“這便需要一種折中的方案,使得企業(yè)內(nèi)部有能力將自身的IT管理、遵從方法擴(kuò)張到云上去。”李剛表示,目前賽門鐵克針對(duì)這樣的需求已有相應(yīng)解決方案,其實(shí)質(zhì)是一種云安全網(wǎng)關(guān)。企業(yè)內(nèi)部員工在使用云服務(wù),通過企業(yè)網(wǎng)絡(luò)連向外部時(shí),其就能夠識(shí)別出使用的云服務(wù),然后對(duì)云服務(wù)進(jìn)行管控,并查看部門和員工使用云服務(wù)的過程中,是否符合公司的安全的策略,是否有信息未經(jīng)審批透露出去等。
法規(guī)缺失制肘云服務(wù)普及
另外,企業(yè)對(duì)云服務(wù)模式采用的增加還有賴于法律、法規(guī)環(huán)境的進(jìn)一步加強(qiáng)。對(duì)于企業(yè)而言,將非核心業(yè)務(wù)交付給云供應(yīng)商后,需要法律、法規(guī)對(duì)于服務(wù)水平、安全性、可靠性以及服務(wù)中斷等問題及責(zé)任進(jìn)行界定,但目前區(qū)別于美國(guó)等地,對(duì)信息服務(wù)有明確的規(guī)章制度,目前我國(guó)相關(guān)法律、法規(guī)建設(shè)還在摸索階段。
“這也是為什么在中國(guó)私有云比公有云的發(fā)展快的原因。因?yàn)樗接性茖?shí)際上是企業(yè)內(nèi)部試圖利用云的概念,來增強(qiáng)IT靈活性、降低成本;而公有云服務(wù)現(xiàn)在還存在這樣的問題,這就需要衡量風(fēng)險(xiǎn)與回報(bào)的收益了。”李剛說道。
但李剛也表示有很多時(shí)候在沒有法規(guī)的情況下,一些新生事物也很容易被用戶所接受,最顯著的例子便是早期B2C、C2C發(fā)展歷程。“最開始電子商務(wù)發(fā)展時(shí)并未有很多的法規(guī)規(guī)定出臺(tái),當(dāng)大家發(fā)現(xiàn)電子商務(wù)特別方便時(shí),產(chǎn)業(yè)很快膨脹起來。對(duì)于中國(guó)云計(jì)算服務(wù),也并不排除這樣的可能性,或許某一天便爆發(fā)式增長(zhǎng)起來,盡管法規(guī)可能會(huì)滯后一些。”
私有云:服務(wù)器安全防護(hù)更重要
在李剛看來,企業(yè)采用云計(jì)算服務(wù)后安全水平的降低并不是絕對(duì)的。雖然公用云服務(wù)對(duì)于大型企業(yè)等,風(fēng)險(xiǎn)敞口擴(kuò)大,但對(duì)于小型企業(yè)而言,或許是收斂了。因?yàn)樾⌒推髽I(yè)可能本來安全資源投入有限,采用云服務(wù)后,云服務(wù)供應(yīng)商的安全級(jí)別可能更高。無論如何,企業(yè)采用云服務(wù)的顧慮,事實(shí)上可以歸結(jié)為企業(yè)有沒有意識(shí)到風(fēng)險(xiǎn)的存在,以及有沒有能力去審核并證明安全性。
另外,盡管企業(yè)在接受云服務(wù)模式時(shí)存在各種疑慮,但許多企業(yè)并未忽略云計(jì)算所帶來的優(yōu)勢(shì),開始搭建私有云,降低成本、強(qiáng)化自身IT能力??v觀國(guó)內(nèi)云計(jì)算的整體發(fā)展,目前也呈現(xiàn)私有云發(fā)展靠前的現(xiàn)狀。
“從安全角度看,實(shí)際上對(duì)企業(yè)而言,私有云建設(shè)將風(fēng)險(xiǎn)更加集中了。”李剛說道。傳統(tǒng)企業(yè)內(nèi)部的系統(tǒng)建設(shè)都是成煙筒狀,跨入云環(huán)境后,可能風(fēng)險(xiǎn)就更加集中了。但“風(fēng)險(xiǎn)集中倒并不一定是壞事。當(dāng)風(fēng)險(xiǎn)集中之后后,企業(yè)可能更容易去管控。”
李剛解釋道,畢竟云環(huán)境跟傳統(tǒng)環(huán)境并不相同,很多企業(yè)用虛擬化作為私有云的一個(gè)實(shí)現(xiàn)技術(shù),而在虛擬化環(huán)境中,對(duì)系統(tǒng)的保護(hù)與原來的物理環(huán)境里是完全不一樣的。從企業(yè)內(nèi)部來看,很可能是一個(gè)混合環(huán)境,即既有傳統(tǒng)的物理環(huán)境,又有虛擬環(huán)境來構(gòu)成所謂的私有云。
在這種情況下,便需要新技術(shù)去實(shí)施保護(hù)。例如傳統(tǒng)在一個(gè)數(shù)據(jù)中心的防護(hù)上,是采用傳統(tǒng)的安全域,通過網(wǎng)絡(luò)的方式去保護(hù)一個(gè)數(shù)據(jù)中心,但是現(xiàn)在這種防護(hù)在虛擬化環(huán)境中并不夠用,同時(shí)因?yàn)樘摂M化環(huán)境很容易就跨越了傳統(tǒng)定義的域,虛擬化環(huán)境使得安全域的概念模糊,邊界模糊。“那么這時(shí)候,企業(yè)就需要考慮到以前不太重視的直接對(duì)服務(wù)器的保護(hù)。”李剛指出,傳統(tǒng)在服務(wù)器端的很少實(shí)施安全保護(hù),一般業(yè)界均重視網(wǎng)絡(luò)、終端保護(hù),并仰仗于數(shù)據(jù)中心的網(wǎng)絡(luò)隔離等實(shí)施保護(hù)。但是在私有云中,邊界相對(duì)模糊,并很容易被突破,這個(gè)時(shí)候保護(hù)好服務(wù)器本身就顯得十分關(guān)鍵。[!--empirenews.page--]
云計(jì)算催生新軟件交付模式
云計(jì)算作為IT發(fā)展的大背景,對(duì)于企業(yè)而言既是機(jī)遇也是挑戰(zhàn),同時(shí)對(duì)于設(shè)備提供商、技術(shù)服務(wù)提供商而言,云計(jì)算帶來的更是變革!對(duì)于賽門鐵克而言也不例外。
目前,利用云計(jì)算包括賽門鐵克在內(nèi)的軟件廠商已有自己新的業(yè)務(wù)模式出現(xiàn)。傳統(tǒng)軟件均是以許可證的方式提供給用戶,用戶通過許可證授權(quán)自行安裝。而云模式誕生后,許多軟件、服務(wù)便可以通過云模式提交給用戶,免除了用戶自行買軟件、搭系統(tǒng),再將搭建環(huán)境集成到現(xiàn)有環(huán)境中的復(fù)雜實(shí)施,而這些軟件廠商在云時(shí)代便成功轉(zhuǎn)身為云服務(wù)提供商。據(jù)悉,目前,賽門鐵克已經(jīng)可以向全球客戶提供16種云服務(wù),包括備份、歸檔、網(wǎng)絡(luò)安全、加密、業(yè)務(wù)連續(xù)性、驗(yàn)證服務(wù)等。同時(shí)賽門鐵克也即將在中國(guó)開展云服務(wù)Symantec.cloud以滿足企業(yè)在安全性、靈活性與高效率方面的需求。
同時(shí),通過云模式將IT安全服務(wù)等交付給用戶也將成為未來IT安全發(fā)展的重要趨勢(shì)。Gartner預(yù)測(cè),到2015年,10%的IT安全企業(yè)功能將通過云計(jì)算交付,雖然目前的焦點(diǎn)仍在于通信、Web安全和遠(yuǎn)程漏洞評(píng)估。然而,預(yù)計(jì)還將出現(xiàn)更多技術(shù)來支持云計(jì)算的成熟發(fā)展,例如數(shù)據(jù)丟失防護(hù)、加密、身份驗(yàn)證等。
事實(shí)上,包括但不限于云服務(wù)供應(yīng)商,在云時(shí)代,李剛表示賽門鐵克將扮演三大角色:一是賽門鐵克本身就是云服務(wù)供應(yīng)商;二是其將幫助用戶搭建云;三是幫助用戶安全可靠地使用云。
對(duì)話:賽門鐵克大中國(guó)區(qū)技術(shù)支持部總監(jiān) 李剛
Q:云計(jì)算經(jīng)過幾年探討,逐漸走向落地,2013年云計(jì)算發(fā)展將會(huì)呈現(xiàn)什么特點(diǎn)?
李剛:2013年云計(jì)算的應(yīng)用和普及會(huì)進(jìn)一步加速。因?yàn)樵朴?jì)算為業(yè)務(wù)帶來的回報(bào)仍高于初期的投入成本,而且中國(guó)在云計(jì)算領(lǐng)域有大量的前期投入,包括政府在內(nèi)均投入大量資源建設(shè)產(chǎn)業(yè)園、云基地等,這些預(yù)先投入將在2013年逐漸展現(xiàn)出它的推動(dòng)力量和拉動(dòng)力量,并降低云計(jì)算的進(jìn)入門檻。
另一方面,云計(jì)算所帶來的風(fēng)險(xiǎn)將從2013年開始日益顯著。目前業(yè)界在這方面的關(guān)注程度、意識(shí)還不夠高,所以在前期會(huì)出現(xiàn)一些云計(jì)算風(fēng)險(xiǎn)的問題。隨著這些風(fēng)險(xiǎn)的逐步揭示,業(yè)界可能會(huì)更加重視云計(jì)算及其風(fēng)險(xiǎn)問題,可能促使未來云計(jì)算服務(wù)、環(huán)境變得更加安全。
Q:對(duì)于云計(jì)算潛在風(fēng)險(xiǎn),企業(yè)應(yīng)該怎么應(yīng)對(duì)?
李剛:首先企業(yè)、用戶需要知道風(fēng)險(xiǎn)是確實(shí)存在,并了解其在什么地方,然后借助一些新的技術(shù)手段去管理這些風(fēng)險(xiǎn)。事實(shí)上,最為關(guān)鍵的問題在于企業(yè)能不能承認(rèn)風(fēng)險(xiǎn)的存在,并去部署這些技術(shù)和手段。
Q:目前國(guó)內(nèi)企業(yè)在私有云搭建過程中有哪些誤區(qū),及值得關(guān)注的地方?
李剛:國(guó)內(nèi)企業(yè)在私有云搭建上,思路應(yīng)不要太拘泥于一些樣式和技術(shù),其實(shí)很多IT新事物出現(xiàn)后,均會(huì)有這個(gè)現(xiàn)象。對(duì)于私有云和虛擬化,企業(yè)有時(shí)候會(huì)產(chǎn)生一些混淆,認(rèn)為虛擬化后就是云,或者認(rèn)為只要是云就必須虛擬化。實(shí)際上兩者沒有必然的推導(dǎo)關(guān)系,因?yàn)樵颇J礁匾橇鞒?、使用方式,是服?wù)的一種方式,例如包含按需擴(kuò)展等特點(diǎn),并不在于用什么技術(shù)實(shí)現(xiàn)。
另外,在私有云建設(shè)的時(shí),需要把安全建設(shè)考慮在先,因?yàn)樗吘故且粋€(gè)云模式,打破了傳統(tǒng)IT建設(shè)里面以邊界、安全域?yàn)槌霭l(fā)點(diǎn)的一些安全防護(hù)的建設(shè)思路。再者安全要前置、主動(dòng),把安全這種防控手段跟云的建設(shè)同時(shí)考慮,并且在私有云模式下,這也變得可行。