信息化觀察網(wǎng)

近兩年，云計(jì)算作為新技術(shù)，成為人們的熱議話題。我們必須承認(rèn)的是，云已經(jīng)成為了如今這個(gè)時(shí)代中主流的計(jì)算模式，這一點(diǎn)是非常清楚的。但這并不意味著云計(jì)算的發(fā)展已經(jīng)成熟，尤其是當(dāng)涉及到公共云安全性時(shí)。

現(xiàn)在是重新澄清關(guān)于公共云安全的一些重大誤解的時(shí)候了，其中一些涉及私有云或混合云環(huán)境，更不用說(shuō)IT安全。

一些云計(jì)算安全專家將這些誤區(qū)和神話改寫(xiě)為所對(duì)應(yīng)的現(xiàn)實(shí)。以下是他們的建議：

誤區(qū)1：公共云本質(zhì)上是不安全的

這個(gè)是人們需要糾正的一個(gè)想法，這是云計(jì)算發(fā)展歷史所經(jīng)歷的一個(gè)階段。公共云與傳統(tǒng)數(shù)據(jù)中心有不同的考慮因素嗎？是的。這是否意味著公共云自動(dòng)降低安全性？并不是。

瞻博網(wǎng)絡(luò)全球安全策略總監(jiān)Laurence Pitt表示：“當(dāng)公共云是新生事物的時(shí)候，有人擔(dān)心這項(xiàng)技術(shù)尚未得到證實(shí)的安全性，但事實(shí)已經(jīng)不是如此。云計(jì)算技術(shù)始于20世紀(jì)90年代，這意味著云計(jì)算提供商有著多年的數(shù)據(jù)和應(yīng)用訪問(wèn)經(jīng)驗(yàn)，可以確保權(quán)利管理、強(qiáng)有力的治理和系統(tǒng)監(jiān)控。”

當(dāng)然，并不是所有的提供商都是一樣的。Pitt指出公共云本身就是一個(gè)巨大的安全威脅。

現(xiàn)實(shí)1：公共云安全通常比內(nèi)部部署數(shù)據(jù)中心的安全性更好

事實(shí)上，對(duì)于一些企業(yè)來(lái)說(shuō)，利用一些云計(jì)算提供商的規(guī)模和實(shí)力可能實(shí)際上是更加高效的整體安全戰(zhàn)略的一部分，特別是如果企業(yè)受到預(yù)算的限制或者只是像很多IT領(lǐng)導(dǎo)者一樣，很難找到具備相應(yīng)用安全技能的工作人員。

正如Red Hat公司技術(shù)布道者Gordon Haff最近指出的那樣，企業(yè)可能過(guò)于擔(dān)心公共云提供商的安全流程。“公共云的本質(zhì)是云計(jì)算提供商使用專業(yè)人員、自動(dòng)化流程和紀(jì)律來(lái)處理安全問(wèn)題。”他表示。

誤區(qū)2：不了解“公共云”的含義

Sumo Logic公司的首席安全官George Gerchow表示，關(guān)于公共云的誤解的這個(gè)話題太廣泛了。“這個(gè)問(wèn)題需要進(jìn)一步細(xì)分，以區(qū)分單一租戶與多租戶，還是公共云托管服務(wù)。”Gerchow說(shuō)。

事實(shí)上，人們傾向于整合大量的東西，例如從軟件到基礎(chǔ)設(shè)施到開(kāi)發(fā)平臺(tái)，基本上是人們都可以附加的無(wú)處不在的“as-a-Service”（即服務(wù)），而這些都包含在一個(gè)巨大的“公共云”中。

對(duì)于一家公司而言，“公共云”可能意味著跨多個(gè)供應(yīng)商的多個(gè)基礎(chǔ)設(shè)施與私有云和/或本地部署基礎(chǔ)設(shè)施相集成的環(huán)境，并作為混合云組合的一部分。而對(duì)于另一家公司而言，“公共云”可能只是意味著他們使用Google Apps或Office 365.

這導(dǎo)致了公共云安全的泛化，而這往往是偏離目標(biāo)的。

例如，Gerchow在深入研究更加具體的公共云類別時(shí)看到了人們一個(gè)重要的誤解。他說(shuō)，“單租戶云部署比多租戶更安全是一個(gè)巨大的誤解。”

現(xiàn)實(shí)2：公共云類型及其安全考慮因素可能會(huì)有很大差異

Gerchow的觀點(diǎn)非常重要：將公共云安全視為一個(gè)同質(zhì)化問(wèn)題是錯(cuò)誤的。從安全的角度來(lái)看，將所有公共云環(huán)境視為同一個(gè)環(huán)境也是錯(cuò)誤的。作為公共云戰(zhàn)略的一部分，企業(yè)必須區(qū)分特定類型的云環(huán)境，以及在那里處理和存儲(chǔ)的數(shù)據(jù)等因素。而不同的組織對(duì)安全性、合規(guī)性、治理、SLA等方面有不同的需求和關(guān)注。因此，企業(yè)需要更加了解這些需求。

此外，如果將“公共云”想象成一些即將被黑客攻破的大型環(huán)境，那么將錯(cuò)失云計(jì)算所帶來(lái)的機(jī)會(huì)。而這是一個(gè)誤導(dǎo)。

“公共云提供商花費(fèi)過(guò)多的資源來(lái)確保安全性最初架構(gòu)的核心部分，并保持其網(wǎng)絡(luò)和服務(wù)的穩(wěn)固性。”CYBRIC 公司首席技術(shù)官兼聯(lián)合創(chuàng)始人Mike Kail說(shuō)。

同樣，IT領(lǐng)導(dǎo)者必須了解他們正在使用的環(huán)境。企業(yè)應(yīng)該深入挖掘自己的公共云提供商的服務(wù)，就像建設(shè)和運(yùn)營(yíng)自已的數(shù)據(jù)中心一樣努力（而在數(shù)據(jù)中心，企業(yè)如果沒(méi)有特別關(guān)注的問(wèn)題，那么這可能意味著其整個(gè)安全配置文件需要審計(jì)）。

正如SAS公司的首席信息安全官Brian Wilson所說(shuō)的那樣，企業(yè)在云計(jì)算安全性（尤其是公共云）方面，需要深入了解其云計(jì)算提供商的能力以及這些能力如何滿足自己的特定需求（可能需要多云策略才能滿足企業(yè)的各種需求）。

誤區(qū)3：云計(jì)算安全太復(fù)雜，無(wú)法維護(hù)

這是人們一個(gè)長(zhǎng)期的誤解：云計(jì)算安全對(duì)大多數(shù)組織來(lái)說(shuō)太復(fù)雜，無(wú)法有效地掌握。

這個(gè)誤解表明，企業(yè)保護(hù)自己的本地網(wǎng)絡(luò)或數(shù)據(jù)中心的過(guò)程非常簡(jiǎn)單。但是人們也要明白：如果這很容易，為什么每個(gè)人都會(huì)這樣做？如果IT安全非常容易，為什么它會(huì)遭受持續(xù)不斷的漏洞攻擊？

事實(shí)上，人們對(duì)于云計(jì)算這個(gè)想法接近于對(duì)內(nèi)部部署基礎(chǔ)設(shè)施的看法，實(shí)際上可能會(huì)讓IT專業(yè)人員陷入不安全的安全感。

“僅僅因?yàn)楣ぷ魅藛T能夠監(jiān)控服務(wù)器和存儲(chǔ)設(shè)備，并不意味著其安全控制措施已經(jīng)到位。”CYBRIC公司的Kail說(shuō)，“大型違規(guī)行為發(fā)生的原因是缺乏適當(dāng)?shù)谋Ｗo(hù)和安全流程，而不是因?yàn)樗诘牡攸c(diǎn)。”

現(xiàn)實(shí)3：混合云安全需要新的模型和流程

事實(shí)是，當(dāng)企業(yè)將工作負(fù)載轉(zhuǎn)移到公共云時(shí)，其原有的做法仍在實(shí)施。如果企業(yè)想要保護(hù)混合云架構(gòu)，或者尋求利用兩個(gè)或更多不同平臺(tái)的多云戰(zhàn)略，情況會(huì)變得更加真實(shí)。

“云計(jì)算安全是一種新的模式，是軟件定義的。不依賴于明確的網(wǎng)絡(luò)邊界。”Kail說(shuō)，“其實(shí)施或維護(hù)并不復(fù)雜，而是需要一種新的思維方式和文化。”

Kail指出，這種文化是DevOps.希望在安全性方面提供更好的觀點(diǎn)的組織越來(lái)越多地接受DevSecOps，它確實(shí)使安全性與軟件的其他主要部分具有相同的地位。

誤區(qū)4：公共云安全是云計(jì)算供應(yīng)商考慮的問(wèn)題

公共云的一個(gè)共同賣(mài)點(diǎn)是，它為組織提供了無(wú)法實(shí)現(xiàn)的計(jì)算能力、可擴(kuò)展性和靈活性（由于成本、技能集、基礎(chǔ)設(shè)施老化等原因）。

一家小型創(chuàng)業(yè)企業(yè)采用云計(jì)算服務(wù)，可以在一夜之間使用企業(yè)級(jí)質(zhì)量的基礎(chǔ)設(shè)施。其理由很簡(jiǎn)單：云計(jì)算提供商已經(jīng)為其提供了服務(wù)，初創(chuàng)公司不需要購(gòu)買(mǎi)服務(wù)器，更不用說(shuō)構(gòu)建數(shù)據(jù)中心，除非這樣做是其更廣泛的IT戰(zhàn)略的一部分。

然而，這并不能免除其風(fēng)險(xiǎn)。因?yàn)樵谠破脚_(tái)上運(yùn)行和存儲(chǔ)的仍然是企業(yè)自己的數(shù)據(jù)和應(yīng)用程序。企業(yè)當(dāng)然應(yīng)該選擇根據(jù)自己的需求在安全和相關(guān)領(lǐng)域大量投資的公共云供應(yīng)商。只是不要認(rèn)為自己的工作已經(jīng)完成。

現(xiàn)實(shí)4：公共云安全仍然最終取決于企業(yè)的CIO

Kail表示：“云計(jì)算提供商擁有適合客戶使用的軟件定義結(jié)構(gòu)和API，云計(jì)算安全需要最終成為客戶的責(zé)任。”

這并不意味著企業(yè)的公共云供應(yīng)商不能提供幫助。正如Kail指出的那樣，任何具有實(shí)力的云計(jì)算提供商都在不斷投資于其平臺(tái)的安全性，并且他們可以在全球范圍內(nèi)進(jìn)行投資。

企業(yè)可以將過(guò)去常常阻礙云采用的巨大安全恐懼轉(zhuǎn)化為重塑云計(jì)算安全的實(shí)踐機(jī)會(huì)。

Gerchow特別為公共云安全提出了一些建議。他指出，“公共云環(huán)境中的每件事都應(yīng)該使用密鑰輪換措施進(jìn)行加密。公共云也為使用單點(diǎn)登錄和多因素身份驗(yàn)證打開(kāi)了大門(mén)。”

SAS公司首席信息安全官Brian Wilson提出建議：如果企業(yè)優(yōu)先考慮這些技術(shù)和實(shí)踐，請(qǐng)確保其潛在提供商能夠支持這些要求。例如，不要采用表面上的“加密”，而是真正了解他們?nèi)绾沃С置荑€管理。

如果企業(yè)已經(jīng)認(rèn)清了云計(jì)算安全現(xiàn)實(shí)，那么可以根據(jù)其需求與適合的云計(jì)算提供商開(kāi)展合作。

（原標(biāo)題：公共云安全：4個(gè)誤區(qū)和現(xiàn)實(shí)）