信息化觀察網(wǎng)

“云變革” 早期時，在系統(tǒng)管理員眼中，用 “云” 這個比喻來圈定該技術(shù)棧是個有趣的選擇。大腦意象中，云這種綿軟蓬松的形象似乎難以鎖定 IT 市場營銷人員口中無處不在、永遠(yuǎn)在線的云服務(wù)。但隨著越來越多的公司企業(yè)開始采納公有云和私有云解決方案，即便不是這種比喻的支持者，也很容易看出云服務(wù)帶來的各種好處。

而公有云成本步步緊逼私有云托管服務(wù)，供應(yīng)商紛紛忙于往自身云產(chǎn)品中添加越來越多的功能，也使公有云和私有云之爭如今不像以往那么激烈。安全界尤其如此，公有云提供商尋求進(jìn)一步區(qū)別于傳統(tǒng)上享有極高靈活性和嚴(yán)密安全性的私有云網(wǎng)絡(luò)。（當(dāng)然，這種假設(shè)的前提是您準(zhǔn)備自己構(gòu)建該安全棧。）

某種程度上，在安全作為首要考慮的情況下，私有云仍是保持安全控制在內(nèi)部進(jìn)行的有力方式。需要往私有云中添加新安全功能時，多數(shù)情況下主要挑戰(zhàn)存在于你部署該工具集的速度。這就確保了你可以快速而方便地增加你的安全覆蓋面。但成本是個問題——在私有云中維持自身基礎(chǔ)設(shè)施，那么維護(hù)自家安全 “花園” 狀態(tài)的責(zé)任就落到了自己身上，全年都得 “剪枝”、“除草” 和看顧整個花園。

公有云則不一樣，你可以外包安全目標(biāo)，把安全責(zé)任推出去。慣于評估風(fēng)險的人可能會對此概念抱有懷疑，看不見的問題自然是比直接掌控下的問題更難管理。如果供應(yīng)商的安全歷史零碎且未經(jīng)檢驗，那就尤為令人擔(dān)憂了。

在公有云安全問題上，需要考慮一些可能會忽略掉的細(xì)微差別。中央托管的管理服務(wù)意味著可以隨處訪問，也就凸顯出多因子身份驗證登錄等額外預(yù)防措施的重要性。（盡管可能是分布式的，但多數(shù)大型云提供商都會拿出單一的 URL 供管理員訪問。）而且，全部管理控制指令經(jīng)由公共互聯(lián)網(wǎng)傳輸?shù)娘L(fēng)險也得考慮。當(dāng)然，指令傳輸幾乎可以肯定是在 SSL 上進(jìn)行，但近年來頻頻發(fā)生的中間人攻擊已顯示出，即便用了 HTTPS，也存在難以檢測的流量竊聽或篡改風(fēng)險（尤其是在你控制之外的網(wǎng)絡(luò)上）。

所以，做出安全建議時，該如何在二者之間選擇呢？可以先問問這幾個關(guān)鍵問題：

1. 希望在云端存儲的數(shù)據(jù)是什么類型的？有沒有包含信用卡信息、用戶記錄等需遵從特定法律要求，且可能需要具體安全規(guī)定來驗證云服務(wù)的數(shù)據(jù)類型？不僅要考慮當(dāng)前數(shù)據(jù)，還要考慮未來服務(wù)擴展可能會納入的數(shù)據(jù)，如果采用私有云和公有云并存的混合環(huán)境，還得考慮數(shù)據(jù)在兩個環(huán)境中 “泄露” 的風(fēng)險。

2. 服務(wù)提供商切實提供了哪些安全服務(wù)？其歷史安全響應(yīng)效果如何？幸運的是，互聯(lián)網(wǎng)方便了獲取關(guān)于公司安全行為的第三方洞見，但別忘了檢查你潛在供應(yīng)商的通信過程是什么樣的。

3. 自家用于維護(hù)該服務(wù)的安全技術(shù)/工具集的能力和覆蓋范圍如何？很多情況下，沒看到的警報近乎根本沒有警報。有時候，選擇托管公有云服務(wù)可能是充分覆蓋公司重要資產(chǎn)的唯一方式。

只要獲得了這些問題的答案，就可以更明智地評估最佳云解決方案了。

而且，現(xiàn)在正是以競爭性價格獲取上佳服務(wù)的好時機?？焖侔l(fā)展的云服務(wù)市場，為改善公司安全態(tài)勢和獲取云托管解決方案所有好處打開了新大門。僅僅需要確保公司處于云端時對自身云邊界有著清醒的認(rèn)知，保護(hù)好自身云邊界。