我同很多传统IT行业中的人进行过交流,我把他们叫做“抱臂帮(folded arms gang)”。这些人都是IT执行人员,需要处理云计算的使用问题,而且典型的是因为CEO或者他们的董事会成员要求这样做,但是还感觉云计算还有太多毛病。他们想了解云计算,但是对于使用却并没有信心。
好消息在于“抱臂帮”的成员人数随着云计算不断证明其价值正在减少。然而,云端围绕安全和隐私问题的争论还是时常发生。虽然有一定的情感因素,有时候是政治因素在作祟,但是你必须在企业中围绕实际的问题和真正的风险教育这群人。实际上,我已经发现通常而言,云要比传统系统更加安全。
根据Alert Logic2012年秋季的云安全现状报告,威胁活动的变化在本地基础架构上并没有那么重要,任何可以从外部实现的访问——无论企业端还是云端——被攻击的机会是均等的,因为攻击本质上就是投机。
这份报告进一步指出了基于Web应用的攻击同时攻击服务提供商环境(53%)和本地环境(44%)。然而,本地环境用户或者客户实际上比那些服务提供商环境中的用户或者客户遭遇了更多攻击。本地环境用户平均攻击为61.4起,而服务提供商环境客户平均攻击为27.8起。相比较而言,本地环境用户也遭受了更为显著的蛮力攻击。
无疑,存在一种迷思,即云计算内在的就比传统方法缺少安全。那些偏执分子认为这种方法本身就是不安全的,因为要将你的数据存放在非自己且无法控制的服务器和系统上。
然而,控制并不意味着安全。正如我们在这份报告中看到的,在最近今年的攻击发生率上看,比数据的物理位置更重要的是访问方式。这是基于云的系统和传统企业计算同时面临的情况。此外,那些为企业构建了基于云的平台的人通常比那些在防火墙内构件系统的人更加关注安全和治理。
没有按照相同的严格的安全标准而构造的系统并不意味着安全,不管是否在云端都是如此。因此,最佳的实践就是关注定义良好且可执行的安全策略,采用正确可行的技术。而不是关注平台的区别。
我给出的建议包括三个步骤:
1.针对具体的系统和/或数据存储,理解安全和治理需求。很多围绕云或者传统系统部署安全的人并不理解他们在试图解决什么问题。你需要提前定义这些内容。
2.要理解控制访问的重要性远大于数据存储位置。关注数据如何访问,尤其要关注数据外泄了怎么做。再次重申,大多数数据外泄都是弱点所在,不管是否在云端。
3.最后,脆弱性测试完全有必要,不管你是测试基于云的安全还是传统系统的安全。未测试的系统就是不安全的系统。
我怀疑我们围绕安全想的都不一样,而且我们部署的云更多的是基于公有云的系统和数据存储,而且这种现象还会持续下去。然而,没有正确的计划和良好的技术,基于云的平台会更加有风险。同样的事情也会发生在现有的系统上。天下并没有免费的午餐不是吗?