云应用时代的到来
经政府主导和运营商1年左右的基础架构建设,云服务距离我们已经很近了。从搜索引擎上检索SaaS OA或SaaS ERP,立刻可以获得到大量服务供应商信息,一般都提供诸如OA、CRM、HR、DRP等标准应用模板,每月收取很少的费用,从几百到几千元不等,有些甚至免费的服务。打开这些服务供应商的主页可以看到不少用户案例,其中以中小型企业、教育分支机构等居多。
安全是一切的前提
“使用IT就像打开龙头使用自来水一样方便,又何必自己去建造水厂!”这句话是不少云服务供应商向用户介绍其服务时的开场白。不过,如果有位用户刚经历了在炎热的夏天突然被告知要断水,又或者是水厂供应的水质出现了问题,那他对这句话可能就不会这么认同了。
服务水平协议和安全性同样是妨碍用户应用云服务的最主要原因。在IDC的报告中显示有2/3的用户将安全问题作为选择SaaS时的首要考虑因素。对于最有可能应用到云服务的中小企业而言,服务水平可能尚在其次,毕竟服务的中断可以通过手动或其它方式来弥补。但安全性方面的威胁是无论如何不能被接受的,毕竟诸如客户资料,财务信息,抑或研发源代码等核心资料的泄漏会给企业造成无法估量的损失。
潜在的安全风险和对策
客户端安全:在传统的客户端风险威胁防护中,所有的威胁检测在客户端内部完成。防护不当的客户端受到的安全风险较大;而防护较好的客户端受到的安全风险较小。但在云环境中,客户端安全存在着明显的木桶效应,企业的整体客户端安全水平受限于安全防护度最低的那一台主机,并且由于客户端之间互为独立阻隔了威胁检测结果的共享,可能造成已经检测出的威胁仍会对企业造成影响的情况发生。其实云服务供应商在这一领域可以为企业提供更多的统一威胁策略管理,由企业客户端将所有可疑风险传递到云端处理。
传输链路安全:现在大多数云服务通过VPN进行访问,以确保企业数据在传输过程中的安全,以及数据的受控存取。但严格的身份认证或更高级别的数据传输加密方式,如加密机,还少有应用。电子证书安全认证、动态口令等身份识别机制一方面可以防止非法入侵访问,对云服务提供商而言,还能够对实现用户操作的不可抵赖性,为可能存在的司法风险提供电子证据。
云端安全:数据存储和容灾对于企业而言是至关重要的一个环节。在云环境下,服务供应商在高度整合的磁盘空间中划分出一块块逻辑空间给到不同用户。但用户并不清楚自己的数据存在于何处,在哪些设备上,是否有严格的数据隔离措施,同时还存在第三方机构的数据审计和合规规范方面的问题。更重要的是,企业如何确保云服务商不会窃取自己的赖以为继的数据。目前的云服务供应商大多通过引荐同类客户、自身各种资质来证明所提供的服务的安全可靠,但仍缺乏技术层面的数据分权掌控机制,将数据的访问授权通过多方共同控制。
云环境下的安全控制策略
对于用户而言,向云环境迁移是一项复杂的决策过程。需要对现有业务模型进行梳理,云技术确实能够大幅缩短IT应用部署时间,但只限于风险可控的业务模型,其它关键业务仍不妨选择建立企业私有云;另一方面需要和云服务供应商确立明确的规范条款来规避可能存在的风险,了解云服务供应商是否可以根据自身所需提供上述保证客户端,传输端和云端的安全策略,并且通过SLA来保障服务水平,以及系统宕机后的应用恢复和数据恢复问题。