物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊(cè)

2013年云計(jì)算風(fēng)險(xiǎn)問(wèn)題或愈加顯著

作者:RFID世界網(wǎng) 收錄
來(lái)源:通信世界周刊
日期:2013-02-01 09:35:26
摘要:企業(yè)或出于降低成本,或出于創(chuàng)新的驅(qū)動(dòng),正不斷邁入云計(jì)算。特別是在國(guó)內(nèi),政府對(duì)云計(jì)算發(fā)展重視有加,政策、資金不斷下發(fā)促進(jìn)了云計(jì)算產(chǎn)業(yè)的發(fā)展。近期,有消息指出工信部正在加緊編制云計(jì)算產(chǎn)業(yè)發(fā)展指導(dǎo)意見(jiàn),并有望于2013年兩會(huì)后正式出臺(tái)。因此2013年對(duì)于云計(jì)算而言,將是大力發(fā)展、加速普及的一年。

  企業(yè)或出于降低成本,或出于創(chuàng)新的驅(qū)動(dòng),正不斷邁入云計(jì)算。特別是在國(guó)內(nèi),政府對(duì)云計(jì)算發(fā)展重視有加,政策、資金不斷下發(fā)促進(jìn)了云計(jì)算產(chǎn)業(yè)的發(fā)展。近期,有消息指出工信部正在加緊編制云計(jì)算產(chǎn)業(yè)發(fā)展指導(dǎo)意見(jiàn),并有望于2013年兩會(huì)后正式出臺(tái)。因此2013年對(duì)于云計(jì)算而言,將是大力發(fā)展、加速普及的一年。

  對(duì)此,賽門鐵克大中國(guó)區(qū)技術(shù)支持部總監(jiān)李剛認(rèn)為,隨著云計(jì)算發(fā)展步入縱深,安全風(fēng)險(xiǎn)問(wèn)題將逐步揭露并在2013年日益顯著,但隨著業(yè)界重視程度不斷增加,云服務(wù)和產(chǎn)業(yè)環(huán)境將會(huì)向更安全方向演進(jìn)。無(wú)獨(dú)有偶,分析機(jī)構(gòu)Gartner報(bào)告預(yù)計(jì),云計(jì)算的增長(zhǎng)將會(huì)成為2013年各種安全趨勢(shì)的推動(dòng)力量,也從側(cè)面印證了2013年將是云計(jì)算安全發(fā)展的重要一年。

  影子IT擴(kuò)大安全風(fēng)險(xiǎn)

  目前,云計(jì)算所遭受的質(zhì)疑聲中,最受關(guān)注與最大的挑戰(zhàn)便是安全。眾多研究報(bào)告指出安全是阻礙企業(yè)邁向云計(jì)算的首要因素。同時(shí)對(duì)于眾多中國(guó)企業(yè),出于長(zhǎng)期自建自用IT資源的思維所致,當(dāng)前對(duì)云計(jì)算服務(wù)模式接受度并不高,對(duì)數(shù)據(jù)安全性、泄露風(fēng)險(xiǎn)等顧慮重重。這在李剛看來(lái),其實(shí)可以轉(zhuǎn)化為企業(yè)如何衡量企業(yè)IT部門與業(yè)務(wù)部門的價(jià)值比重問(wèn)題。

  “企業(yè)決策者需要考慮IT系統(tǒng)本身的價(jià)值和首要價(jià)值是什么,其次,明確企業(yè)自身提供的核心價(jià)值輸出是什么?!崩顒偙硎荆?dāng)IT部門是企業(yè)競(jìng)爭(zhēng)力的重要體現(xiàn)時(shí),可以通過(guò)云的方式將非核心價(jià)值部分交付給云服務(wù)供應(yīng)商,從而可以集中更多資源集中在競(jìng)爭(zhēng)價(jià)值上。

  企業(yè)通過(guò)云計(jì)算服務(wù)模式使其不用擔(dān)心自建IT設(shè)施所花費(fèi)成本,并提升信息化水平,對(duì)于廠商、供應(yīng)商而言,也能創(chuàng)造更多的市場(chǎng)機(jī)會(huì),是一個(gè)雙贏的選擇。但鑒于云計(jì)算仍處于發(fā)展初期階段,還需要一段時(shí)間進(jìn)行企業(yè)思維模式轉(zhuǎn)換及市場(chǎng)培育。

  同時(shí)對(duì)于即將或已將進(jìn)入云的企業(yè)而言,企業(yè)需要意識(shí)到云進(jìn)入到企業(yè)內(nèi)部后為企業(yè)帶來(lái)的安全管控變化。目前隨著企業(yè)可以選擇的云服務(wù)逐漸增多,并且比傳統(tǒng)IT系統(tǒng)使用起來(lái)更為方便,并有利于公司業(yè)務(wù)的快速響應(yīng),一些企業(yè)部門、個(gè)人便放棄了需要長(zhǎng)時(shí)間開(kāi)發(fā)的傳統(tǒng)IT服務(wù),轉(zhuǎn)投立即使用的外部云端服務(wù)。源于此,也出現(xiàn)了許多不受IT部門管控的影子IT服務(wù)(ShadowIT)。這在李剛看來(lái),這些影子IT并沒(méi)有融入企業(yè)IT治理的合規(guī)流程,在將企業(yè)數(shù)據(jù)托管在云端服務(wù)器的過(guò)程中,合規(guī)評(píng)估、風(fēng)險(xiǎn)評(píng)估將變得十分困難。

  李剛舉例表示,目前許多企業(yè)人員都喜歡采用Dropbox云端存儲(chǔ)服務(wù)方便地隨時(shí)存取檔案,但其中很可能將公司一些項(xiàng)目敏感數(shù)據(jù)、設(shè)計(jì)、知識(shí)產(chǎn)權(quán)等信息脫離公司管控。這對(duì)于企業(yè)而言將是一個(gè)很大的風(fēng)險(xiǎn)泄露渠道。據(jù)國(guó)外一家存儲(chǔ)管理軟件公司Nasuni最近針對(duì)企業(yè)使用Dropbox的調(diào)查報(bào)告顯示,受訪1300多位商業(yè)人士中,每5人就有1人在工作中使用Dropbox存儲(chǔ)商業(yè)文件,而且大部分人員均繞過(guò)IT部門私下使用,其中,高層主管還是最大的使用族群。

  在上述情況下,企業(yè)既不能不允許采用影子IT服務(wù),因?yàn)楹芸赡芨?jìng)爭(zhēng)對(duì)手也正在采用此類云服務(wù)以提高生產(chǎn)效率,但采用后,又存在許多潛在隱患?!斑@便需要一種折中的方案,使得企業(yè)內(nèi)部有能力將自身的IT管理、遵從方法擴(kuò)張到云上去?!崩顒偙硎?,目前賽門鐵克針對(duì)這樣的需求已有相應(yīng)解決方案,其實(shí)質(zhì)是一種云安全網(wǎng)關(guān)。企業(yè)內(nèi)部員工在使用云服務(wù),通過(guò)企業(yè)網(wǎng)絡(luò)連向外部時(shí),其就能夠識(shí)別出使用的云服務(wù),然后對(duì)云服務(wù)進(jìn)行管控,并查看部門和員工使用云服務(wù)的過(guò)程中,是否符合公司的安全的策略,是否有信息未經(jīng)審批透露出去等。

  法規(guī)缺失制肘云服務(wù)普及

  另外,企業(yè)對(duì)云服務(wù)模式采用的增加還有賴于法律、法規(guī)環(huán)境的進(jìn)一步加強(qiáng)。對(duì)于企業(yè)而言,將非核心業(yè)務(wù)交付給云供應(yīng)商后,需要法律、法規(guī)對(duì)于服務(wù)水平、安全性、可靠性以及服務(wù)中斷等問(wèn)題及責(zé)任進(jìn)行界定,但目前區(qū)別于美國(guó)等地,對(duì)信息服務(wù)有明確的規(guī)章制度,目前我國(guó)相關(guān)法律、法規(guī)建設(shè)還在摸索階段。

  “這也是為什么在中國(guó)私有云比公有云的發(fā)展快的原因。因?yàn)樗接性茖?shí)際上是企業(yè)內(nèi)部試圖利用云的概念,來(lái)增強(qiáng)IT靈活性、降低成本;而公有云服務(wù)現(xiàn)在還存在這樣的問(wèn)題,這就需要衡量風(fēng)險(xiǎn)與回報(bào)的收益了?!崩顒傉f(shuō)道。

  但李剛也表示有很多時(shí)候在沒(méi)有法規(guī)的情況下,一些新生事物也很容易被用戶所接受,最顯著的例子便是早期B2C、C2C發(fā)展歷程?!白铋_(kāi)始電子商務(wù)發(fā)展時(shí)并未有很多的法規(guī)規(guī)定出臺(tái),當(dāng)大家發(fā)現(xiàn)電子商務(wù)特別方便時(shí),產(chǎn)業(yè)很快膨脹起來(lái)。對(duì)于中國(guó)云計(jì)算服務(wù),也并不排除這樣的可能性,或許某一天便爆發(fā)式增長(zhǎng)起來(lái),盡管法規(guī)可能會(huì)滯后一些?!?/P>

  私有云:服務(wù)器安全防護(hù)更重要

  在李剛看來(lái),企業(yè)采用云計(jì)算服務(wù)后安全水平的降低并不是絕對(duì)的。雖然公用云服務(wù)對(duì)于大型企業(yè)等,風(fēng)險(xiǎn)敞口擴(kuò)大,但對(duì)于小型企業(yè)而言,或許是收斂了。因?yàn)樾⌒推髽I(yè)可能本來(lái)安全資源投入有限,采用云服務(wù)后,云服務(wù)供應(yīng)商的安全級(jí)別可能更高。無(wú)論如何,企業(yè)采用云服務(wù)的顧慮,事實(shí)上可以歸結(jié)為企業(yè)有沒(méi)有意識(shí)到風(fēng)險(xiǎn)的存在,以及有沒(méi)有能力去審核并證明安全性。

  另外,盡管企業(yè)在接受云服務(wù)模式時(shí)存在各種疑慮,但許多企業(yè)并未忽略云計(jì)算所帶來(lái)的優(yōu)勢(shì),開(kāi)始搭建私有云,降低成本、強(qiáng)化自身IT能力??v觀國(guó)內(nèi)云計(jì)算的整體發(fā)展,目前也呈現(xiàn)私有云發(fā)展靠前的現(xiàn)狀。

  “從安全角度看,實(shí)際上對(duì)企業(yè)而言,私有云建設(shè)將風(fēng)險(xiǎn)更加集中了?!崩顒傉f(shuō)道。傳統(tǒng)企業(yè)內(nèi)部的系統(tǒng)建設(shè)都是成煙筒狀,跨入云環(huán)境后,可能風(fēng)險(xiǎn)就更加集中了。但“風(fēng)險(xiǎn)集中倒并不一定是壞事。當(dāng)風(fēng)險(xiǎn)集中之后后,企業(yè)可能更容易去管控?!?/P>

  李剛解釋道,畢竟云環(huán)境跟傳統(tǒng)環(huán)境并不相同,很多企業(yè)用虛擬化作為私有云的一個(gè)實(shí)現(xiàn)技術(shù),而在虛擬化環(huán)境中,對(duì)系統(tǒng)的保護(hù)與原來(lái)的物理環(huán)境里是完全不一樣的。從企業(yè)內(nèi)部來(lái)看,很可能是一個(gè)混合環(huán)境,即既有傳統(tǒng)的物理環(huán)境,又有虛擬環(huán)境來(lái)構(gòu)成所謂的私有云。

  在這種情況下,便需要新技術(shù)去實(shí)施保護(hù)。例如傳統(tǒng)在一個(gè)數(shù)據(jù)中心的防護(hù)上,是采用傳統(tǒng)的安全域,通過(guò)網(wǎng)絡(luò)的方式去保護(hù)一個(gè)數(shù)據(jù)中心,但是現(xiàn)在這種防護(hù)在虛擬化環(huán)境中并不夠用,同時(shí)因?yàn)樘摂M化環(huán)境很容易就跨越了傳統(tǒng)定義的域,虛擬化環(huán)境使得安全域的概念模糊,邊界模糊?!澳敲催@時(shí)候,企業(yè)就需要考慮到以前不太重視的直接對(duì)服務(wù)器的保護(hù)?!崩顒傊赋?,傳統(tǒng)在服務(wù)器端的很少實(shí)施安全保護(hù),一般業(yè)界均重視網(wǎng)絡(luò)、終端保護(hù),并仰仗于數(shù)據(jù)中心的網(wǎng)絡(luò)隔離等實(shí)施保護(hù)。但是在私有云中,邊界相對(duì)模糊,并很容易被突破,這個(gè)時(shí)候保護(hù)好服務(wù)器本身就顯得十分關(guān)鍵。

  云計(jì)算催生新軟件交付模式

  云計(jì)算作為IT發(fā)展的大背景,對(duì)于企業(yè)而言既是機(jī)遇也是挑戰(zhàn),同時(shí)對(duì)于設(shè)備提供商、技術(shù)服務(wù)提供商而言,云計(jì)算帶來(lái)的更是變革!對(duì)于賽門鐵克而言也不例外。

  目前,利用云計(jì)算包括賽門鐵克在內(nèi)的軟件廠商已有自己新的業(yè)務(wù)模式出現(xiàn)。傳統(tǒng)軟件均是以許可證的方式提供給用戶,用戶通過(guò)許可證授權(quán)自行安裝。而云模式誕生后,許多軟件、服務(wù)便可以通過(guò)云模式提交給用戶,免除了用戶自行買軟件、搭系統(tǒng),再將搭建環(huán)境集成到現(xiàn)有環(huán)境中的復(fù)雜實(shí)施,而這些軟件廠商在云時(shí)代便成功轉(zhuǎn)身為云服務(wù)提供商。據(jù)悉,目前,賽門鐵克已經(jīng)可以向全球客戶提供16種云服務(wù),包括備份、歸檔、網(wǎng)絡(luò)安全、加密、業(yè)務(wù)連續(xù)性、驗(yàn)證服務(wù)等。同時(shí)賽門鐵克也即將在中國(guó)開(kāi)展云服務(wù)Symantec.cloud以滿足企業(yè)在安全性、靈活性與高效率方面的需求。

  同時(shí),通過(guò)云模式將IT安全服務(wù)等交付給用戶也將成為未來(lái)IT安全發(fā)展的重要趨勢(shì)。Gartner預(yù)測(cè),到2015年,10%的IT安全企業(yè)功能將通過(guò)云計(jì)算交付,雖然目前的焦點(diǎn)仍在于通信、Web安全和遠(yuǎn)程漏洞評(píng)估。然而,預(yù)計(jì)還將出現(xiàn)更多技術(shù)來(lái)支持云計(jì)算的成熟發(fā)展,例如數(shù)據(jù)丟失防護(hù)、加密、身份驗(yàn)證等。

  事實(shí)上,包括但不限于云服務(wù)供應(yīng)商,在云時(shí)代,李剛表示賽門鐵克將扮演三大角色:一是賽門鐵克本身就是云服務(wù)供應(yīng)商;二是其將幫助用戶搭建云;三是幫助用戶安全可靠地使用云。(RFID世界網(wǎng)編輯整理)

人物訪談