2013年云計算風(fēng)險問題或愈加顯著

　　企業(yè)或出于降低成本，或出于創(chuàng)新的驅(qū)動，正不斷邁入云計算。特別是在國內(nèi)，政府對云計算發(fā)展重視有加，政策、資金不斷下發(fā)促進了云計算產(chǎn)業(yè)的發(fā)展。近期，有消息指出工信部正在加緊編制云計算產(chǎn)業(yè)發(fā)展指導(dǎo)意見，并有望于2013年兩會后正式出臺。因此2013年對于云計算而言，將是大力發(fā)展、加速普及的一年。

　　對此，賽門鐵克大中國區(qū)技術(shù)支持部總監(jiān)李剛認為，隨著云計算發(fā)展步入縱深，安全風(fēng)險問題將逐步揭露并在2013年日益顯著，但隨著業(yè)界重視程度不斷增加，云服務(wù)和產(chǎn)業(yè)環(huán)境將會向更安全方向演進。無獨有偶，分析機構(gòu)Gartner報告預(yù)計，云計算的增長將會成為2013年各種安全趨勢的推動力量，也從側(cè)面印證了2013年將是云計算安全發(fā)展的重要一年。

　　影子IT擴大安全風(fēng)險

　　目前，云計算所遭受的質(zhì)疑聲中，最受關(guān)注與最大的挑戰(zhàn)便是安全。眾多研究報告指出安全是阻礙企業(yè)邁向云計算的首要因素。同時對于眾多中國企業(yè)，出于長期自建自用IT資源的思維所致，當(dāng)前對云計算服務(wù)模式接受度并不高，對數(shù)據(jù)安全性、泄露風(fēng)險等顧慮重重。這在李剛看來，其實可以轉(zhuǎn)化為企業(yè)如何衡量企業(yè)IT部門與業(yè)務(wù)部門的價值比重問題。

　　“企業(yè)決策者需要考慮IT系統(tǒng)本身的價值和首要價值是什么，其次，明確企業(yè)自身提供的核心價值輸出是什么?！崩顒偙硎荆?dāng)IT部門是企業(yè)競爭力的重要體現(xiàn)時，可以通過云的方式將非核心價值部分交付給云服務(wù)供應(yīng)商，從而可以集中更多資源集中在競爭價值上。

　　企業(yè)通過云計算服務(wù)模式使其不用擔(dān)心自建IT設(shè)施所花費成本，并提升信息化水平，對于廠商、供應(yīng)商而言，也能創(chuàng)造更多的市場機會，是一個雙贏的選擇。但鑒于云計算仍處于發(fā)展初期階段，還需要一段時間進行企業(yè)思維模式轉(zhuǎn)換及市場培育。

　　同時對于即將或已將進入云的企業(yè)而言，企業(yè)需要意識到云進入到企業(yè)內(nèi)部后為企業(yè)帶來的安全管控變化。目前隨著企業(yè)可以選擇的云服務(wù)逐漸增多，并且比傳統(tǒng)IT系統(tǒng)使用起來更為方便，并有利于公司業(yè)務(wù)的快速響應(yīng)，一些企業(yè)部門、個人便放棄了需要長時間開發(fā)的傳統(tǒng)IT服務(wù)，轉(zhuǎn)投立即使用的外部云端服務(wù)。源于此，也出現(xiàn)了許多不受IT部門管控的影子IT服務(wù)（ShadowIT）。這在李剛看來，這些影子IT并沒有融入企業(yè)IT治理的合規(guī)流程，在將企業(yè)數(shù)據(jù)托管在云端服務(wù)器的過程中，合規(guī)評估、風(fēng)險評估將變得十分困難。

　　李剛舉例表示，目前許多企業(yè)人員都喜歡采用Dropbox云端存儲服務(wù)方便地隨時存取檔案，但其中很可能將公司一些項目敏感數(shù)據(jù)、設(shè)計、知識產(chǎn)權(quán)等信息脫離公司管控。這對于企業(yè)而言將是一個很大的風(fēng)險泄露渠道。據(jù)國外一家存儲管理軟件公司Nasuni最近針對企業(yè)使用Dropbox的調(diào)查報告顯示，受訪1300多位商業(yè)人士中，每5人就有1人在工作中使用Dropbox存儲商業(yè)文件，而且大部分人員均繞過IT部門私下使用，其中，高層主管還是最大的使用族群。

　　在上述情況下，企業(yè)既不能不允許采用影子IT服務(wù)，因為很可能競爭對手也正在采用此類云服務(wù)以提高生產(chǎn)效率，但采用后，又存在許多潛在隱患?！斑@便需要一種折中的方案，使得企業(yè)內(nèi)部有能力將自身的IT管理、遵從方法擴張到云上去?！崩顒偙硎荆壳百愰T鐵克針對這樣的需求已有相應(yīng)解決方案，其實質(zhì)是一種云安全網(wǎng)關(guān)。企業(yè)內(nèi)部員工在使用云服務(wù)，通過企業(yè)網(wǎng)絡(luò)連向外部時，其就能夠識別出使用的云服務(wù)，然后對云服務(wù)進行管控，并查看部門和員工使用云服務(wù)的過程中，是否符合公司的安全的策略，是否有信息未經(jīng)審批透露出去等。

　　法規(guī)缺失制肘云服務(wù)普及

　　另外，企業(yè)對云服務(wù)模式采用的增加還有賴于法律、法規(guī)環(huán)境的進一步加強。對于企業(yè)而言，將非核心業(yè)務(wù)交付給云供應(yīng)商后，需要法律、法規(guī)對于服務(wù)水平、安全性、可靠性以及服務(wù)中斷等問題及責(zé)任進行界定，但目前區(qū)別于美國等地，對信息服務(wù)有明確的規(guī)章制度，目前我國相關(guān)法律、法規(guī)建設(shè)還在摸索階段。

　　“這也是為什么在中國私有云比公有云的發(fā)展快的原因。因為私有云實際上是企業(yè)內(nèi)部試圖利用云的概念，來增強IT靈活性、降低成本；而公有云服務(wù)現(xiàn)在還存在這樣的問題，這就需要衡量風(fēng)險與回報的收益了?！崩顒傉f道。

　　但李剛也表示有很多時候在沒有法規(guī)的情況下，一些新生事物也很容易被用戶所接受，最顯著的例子便是早期B2C、C2C發(fā)展歷程。“最開始電子商務(wù)發(fā)展時并未有很多的法規(guī)規(guī)定出臺，當(dāng)大家發(fā)現(xiàn)電子商務(wù)特別方便時，產(chǎn)業(yè)很快膨脹起來。對于中國云計算服務(wù)，也并不排除這樣的可能性，或許某一天便爆發(fā)式增長起來，盡管法規(guī)可能會滯后一些。”

　　私有云：服務(wù)器安全防護更重要

　　在李剛看來，企業(yè)采用云計算服務(wù)后安全水平的降低并不是絕對的。雖然公用云服務(wù)對于大型企業(yè)等，風(fēng)險敞口擴大，但對于小型企業(yè)而言，或許是收斂了。因為小型企業(yè)可能本來安全資源投入有限，采用云服務(wù)后，云服務(wù)供應(yīng)商的安全級別可能更高。無論如何，企業(yè)采用云服務(wù)的顧慮，事實上可以歸結(jié)為企業(yè)有沒有意識到風(fēng)險的存在，以及有沒有能力去審核并證明安全性。

　　另外，盡管企業(yè)在接受云服務(wù)模式時存在各種疑慮，但許多企業(yè)并未忽略云計算所帶來的優(yōu)勢，開始搭建私有云，降低成本、強化自身IT能力?？v觀國內(nèi)云計算的整體發(fā)展，目前也呈現(xiàn)私有云發(fā)展靠前的現(xiàn)狀。

　　“從安全角度看，實際上對企業(yè)而言，私有云建設(shè)將風(fēng)險更加集中了?！崩顒傉f道。傳統(tǒng)企業(yè)內(nèi)部的系統(tǒng)建設(shè)都是成煙筒狀，跨入云環(huán)境后，可能風(fēng)險就更加集中了。但“風(fēng)險集中倒并不一定是壞事。當(dāng)風(fēng)險集中之后后，企業(yè)可能更容易去管控。”

　　李剛解釋道，畢竟云環(huán)境跟傳統(tǒng)環(huán)境并不相同，很多企業(yè)用虛擬化作為私有云的一個實現(xiàn)技術(shù)，而在虛擬化環(huán)境中，對系統(tǒng)的保護與原來的物理環(huán)境里是完全不一樣的。從企業(yè)內(nèi)部來看，很可能是一個混合環(huán)境，即既有傳統(tǒng)的物理環(huán)境，又有虛擬環(huán)境來構(gòu)成所謂的私有云。

　　在這種情況下，便需要新技術(shù)去實施保護。例如傳統(tǒng)在一個數(shù)據(jù)中心的防護上，是采用傳統(tǒng)的安全域，通過網(wǎng)絡(luò)的方式去保護一個數(shù)據(jù)中心，但是現(xiàn)在這種防護在虛擬化環(huán)境中并不夠用，同時因為虛擬化環(huán)境很容易就跨越了傳統(tǒng)定義的域，虛擬化環(huán)境使得安全域的概念模糊，邊界模糊?！澳敲催@時候，企業(yè)就需要考慮到以前不太重視的直接對服務(wù)器的保護?！崩顒傊赋?，傳統(tǒng)在服務(wù)器端的很少實施安全保護，一般業(yè)界均重視網(wǎng)絡(luò)、終端保護，并仰仗于數(shù)據(jù)中心的網(wǎng)絡(luò)隔離等實施保護。但是在私有云中，邊界相對模糊，并很容易被突破，這個時候保護好服務(wù)器本身就顯得十分關(guān)鍵。

　　云計算催生新軟件交付模式

　　云計算作為IT發(fā)展的大背景，對于企業(yè)而言既是機遇也是挑戰(zhàn)，同時對于設(shè)備提供商、技術(shù)服務(wù)提供商而言，云計算帶來的更是變革！對于賽門鐵克而言也不例外。

　　目前，利用云計算包括賽門鐵克在內(nèi)的軟件廠商已有自己新的業(yè)務(wù)模式出現(xiàn)。傳統(tǒng)軟件均是以許可證的方式提供給用戶，用戶通過許可證授權(quán)自行安裝。而云模式誕生后，許多軟件、服務(wù)便可以通過云模式提交給用戶，免除了用戶自行買軟件、搭系統(tǒng)，再將搭建環(huán)境集成到現(xiàn)有環(huán)境中的復(fù)雜實施，而這些軟件廠商在云時代便成功轉(zhuǎn)身為云服務(wù)提供商。據(jù)悉，目前，賽門鐵克已經(jīng)可以向全球客戶提供16種云服務(wù)，包括備份、歸檔、網(wǎng)絡(luò)安全、加密、業(yè)務(wù)連續(xù)性、驗證服務(wù)等。同時賽門鐵克也即將在中國開展云服務(wù)Symantec.cloud以滿足企業(yè)在安全性、靈活性與高效率方面的需求。

　　同時，通過云模式將IT安全服務(wù)等交付給用戶也將成為未來IT安全發(fā)展的重要趨勢。Gartner預(yù)測，到2015年，10%的IT安全企業(yè)功能將通過云計算交付，雖然目前的焦點仍在于通信、Web安全和遠程漏洞評估。然而，預(yù)計還將出現(xiàn)更多技術(shù)來支持云計算的成熟發(fā)展，例如數(shù)據(jù)丟失防護、加密、身份驗證等。

　　事實上，包括但不限于云服務(wù)供應(yīng)商，在云時代，李剛表示賽門鐵克將扮演三大角色：一是賽門鐵克本身就是云服務(wù)供應(yīng)商；二是其將幫助用戶搭建云；三是幫助用戶安全可靠地使用云。(RFID世界網(wǎng)編輯整理)