當(dāng)新興科技出現(xiàn)時(shí),總是會(huì)有一些炒作,將會(huì)出現(xiàn)各種各樣的術(shù)語、誤解和神話。然而經(jīng)驗(yàn)豐富的IT領(lǐng)導(dǎo)者對(duì)此有所了解。云計(jì)算在其炒作周期中有一個(gè)很好的運(yùn)行過程,IT方面沒有什么重大轉(zhuǎn)變是一個(gè)主要原因。
當(dāng)然,云計(jì)算現(xiàn)在已經(jīng)歷了過度炒作期,并且成為市場(chǎng)主流。但這并不意味著云計(jì)算的發(fā)展已經(jīng)成熟,尤其是當(dāng)涉及到公共云安全性時(shí)。
現(xiàn)在是重新澄清關(guān)于公共云安全的一些重大誤解的時(shí)候了,其中一些涉及私有云或混合云環(huán)境,更不用說IT安全。
一些云計(jì)算安全專家將這些誤區(qū)和神話改寫為所對(duì)應(yīng)的現(xiàn)實(shí)。以下是他們的建議:
誤區(qū)1:公共云本質(zhì)上是不安全的
這個(gè)是人們需要糾正的一個(gè)想法,這是云計(jì)算發(fā)展歷史所經(jīng)歷的一個(gè)階段。公共云與傳統(tǒng)數(shù)據(jù)中心有不同的考慮因素嗎?是的。這是否意味著公共云自動(dòng)降低安全性?并不是。
瞻博網(wǎng)絡(luò)全球安全策略總監(jiān)Laurence Pitt表示:“當(dāng)公共云是新生事物的時(shí)候,有人擔(dān)心這項(xiàng)技術(shù)尚未得到證實(shí)的安全性,但事實(shí)已經(jīng)不是如此。云計(jì)算技術(shù)始于20世紀(jì)90年代,這意味著云計(jì)算提供商有著多年的數(shù)據(jù)和應(yīng)用訪問經(jīng)驗(yàn),可以確保權(quán)利管理、強(qiáng)有力的治理和系統(tǒng)監(jiān)控。”
當(dāng)然,并不是所有的提供商都是一樣的。Pitt指出公共云本身就是一個(gè)巨大的安全威脅。
現(xiàn)實(shí)1:公共云安全通常比內(nèi)部部署數(shù)據(jù)中心的安全性更好
事實(shí)上,對(duì)于一些企業(yè)來說,利用一些云計(jì)算提供商的規(guī)模和實(shí)力可能實(shí)際上是更加高效的整體安全戰(zhàn)略的一部分,特別是如果企業(yè)受到預(yù)算的限制或者只是像很多IT領(lǐng)導(dǎo)者一樣,很難找到具備相應(yīng)用安全技能的工作人員。
正如Red Hat公司技術(shù)布道者Gordon Haff最近指出的那樣,企業(yè)可能過于擔(dān)心公共云提供商的安全流程。“公共云的本質(zhì)是云計(jì)算提供商使用專業(yè)人員、自動(dòng)化流程和紀(jì)律來處理安全問題。”他表示。
誤區(qū)2:不了解“公共云”的含義
Sumo Logic公司的首席安全官George Gerchow表示,關(guān)于公共云的誤解的這個(gè)話題太廣泛了。“這個(gè)問題需要進(jìn)一步細(xì)分,以區(qū)分單一租戶與多租戶,還是公共云托管服務(wù)。”Gerchow說。
事實(shí)上,人們傾向于整合大量的東西,例如從軟件到基礎(chǔ)設(shè)施到開發(fā)平臺(tái),基本上是人們都可以附加的無處不在的“as-a-Service”(即服務(wù)),而這些都包含在一個(gè)巨大的“公共云”中。
對(duì)于一家公司而言,“公共云”可能意味著跨多個(gè)供應(yīng)商的多個(gè)基礎(chǔ)設(shè)施與私有云和/或本地部署基礎(chǔ)設(shè)施相集成的環(huán)境,并作為混合云組合的一部分。而對(duì)于另一家公司而言,“公共云”可能只是意味著他們使用Google Apps或Office 365.
這導(dǎo)致了公共云安全的泛化,而這往往是偏離目標(biāo)的。
例如,Gerchow在深入研究更加具體的公共云類別時(shí)看到了人們一個(gè)重要的誤解。他說,“單租戶云部署比多租戶更安全是一個(gè)巨大的誤解。”
現(xiàn)實(shí)2:公共云類型及其安全考慮因素可能會(huì)有很大差異
Gerchow的觀點(diǎn)非常重要:將公共云安全視為一個(gè)同質(zhì)化問題是錯(cuò)誤的。從安全的角度來看,將所有公共云環(huán)境視為同一個(gè)環(huán)境也是錯(cuò)誤的。作為公共云戰(zhàn)略的一部分,企業(yè)必須區(qū)分特定類型的云環(huán)境,以及在那里處理和存儲(chǔ)的數(shù)據(jù)等因素。而不同的組織對(duì)安全性、合規(guī)性、治理、SLA等方面有不同的需求和關(guān)注。因此,企業(yè)需要更加了解這些需求。
此外,如果將“公共云”想象成一些即將被黑客攻破的大型環(huán)境,那么將錯(cuò)失云計(jì)算所帶來的機(jī)會(huì)。而這是一個(gè)誤導(dǎo)。
“公共云提供商花費(fèi)過多的資源來確保安全性最初架構(gòu)的核心部分,并保持其網(wǎng)絡(luò)和服務(wù)的穩(wěn)固性。”CYBRIC 公司首席技術(shù)官兼聯(lián)合創(chuàng)始人Mike Kail說。
同樣,IT領(lǐng)導(dǎo)者必須了解他們正在使用的環(huán)境。企業(yè)應(yīng)該深入挖掘自己的公共云提供商的服務(wù),就像建設(shè)和運(yùn)營自已的數(shù)據(jù)中心一樣努力(而在數(shù)據(jù)中心,企業(yè)如果沒有特別關(guān)注的問題,那么這可能意味著其整個(gè)安全配置文件需要審計(jì))。
正如SAS公司的首席信息安全官Brian Wilson所說的那樣,企業(yè)在云計(jì)算安全性(尤其是公共云)方面,需要深入了解其云計(jì)算提供商的能力以及這些能力如何滿足自己的特定需求(可能需要多云策略才能滿足企業(yè)的各種需求)。