【IT168 资讯】权衡好处与风险

　　随着云计算的安全缝隙变得更加显而易见，用户开始寻找保护数据安全的途径。纽约投资银行金融服务机构Cowen公司CIO Daniel Flax依靠云计算实现公司销售活动自动化。尽管他对云计算降低前期费用、减少停机时间和支持额外的服务的潜力感到满意，但他承认他必须努力了解这项新兴技术的安全弱点。他说：“安全是我们必须直接面对的挑战之一。”

　　设在多伦多和新斯科舍省Halifax的交互生产公司Stitch Media的所有者兼IT主管Evan Jones也担心云计算安全问题。他说：“当你把重要的公司数据交给第三方时，想起来就感到害怕。”

　　同数量越来越多的IT经理一样，Flax和Jones开始意识到云计算在安全方面没有为公司提供免费班车。去年发表的一份Gartner报告确定了对几个领域中的安全风险的担心，如数据隐私以及完整性与遵从性管理，这些担心应当令那些考虑冲进云计算的人放慢脚步。

　　Gartner分析师Jay Heiser警告说：“企业，特别是那些属于管制行业的企业，必须权衡云计算服务带来的业务好处与风险。”

　　云计算最大的风险之一源于其性质：它允许数据被传送和保存在几乎任何地方――甚至分开保存在世界不同位置。尽管数据散布帮助使云计算具有成本和性能优势，但不利之处是企业信息可能保存在放置在隐私法松弛或者甚至不存在的位置中的存储系统中。

　　Flax使用Salesforce.com公司的Force.com平台实现Cowen全球销售系统自动化。他说确保数据避免存在风险的目的地的非常好的办法是与一家是上市公司的云厂商合作，由于是上市公司，因此法律要求该厂商披露它是如何管理信息的。

　　Flax说，Salesforce.com是上市公司，“因此，我们对管理它们的数据中心的严格的流程和规定感到放心。”他说：“我们知道我们的数据在美国，我们拥有有关我们谈论的数据中心的报告。”

　　纽约州Troy市的Agora Games是一家建设视频游戏玩家Web社区的公司。该公司对它的云计算提供商Terremark Worldwide将它的数据和应用放在何处做不了主。但Agora的首席技术官Brian Corrigan说，这种情况不久会改变。

　　他说，Terremark不久将为Agora提供“挑选虚拟机实际上在何处运行的选择。目前，惟一的选择是Miami的设施，但Terremark将增加其它位置，因此这将成为我们可以控制的问题。”

密切跟踪

　　云计算散布的性质也使跟踪未经授权的活动充满挑战，即使在采用仔细的日志程序时。几乎所有云计算提供商都使用加密技术，如安全套接层技术，来保护传输中的数据。但Heiser指出，确保存储的数据被加密也很重要。他说：“如果数据保存在共享环境中（这种情况很常见），你可以设想未加密的数据可能被未经授权的人员阅读。”

　　Indian Harvest Specialtifoods是明尼苏达州Bemidji市一家向世界各地的餐馆配送大米、谷物和豆类的公司。公司IT主管Mike Mullin说，他依靠提供商NetSuite公司来确保他发送到云中的数据得到全面的保护。他说：“由于使用了SSL，我对我们的数据是安全的非常自信。如果不是这样的话，我想很多人会遇到问题，而整个云计算行业也会遇到问题。”

　　Mullin指出，云计算采用者还必须谨慎评估他们自己的基础设施和安全实践，尤其是访问控制。他说：“你的基础设施与提供商的基础设施一样存在弱点。”

　　使用Amazon.com公司的S3云平台与全布的全球的雇员和承包商共享文件的Jones也认为访问控制至关重要。他说：“我们发现当我们分配不同的级别时，该系统能最好地满足我们。”敏感级别最高的文档根本不传送到云中；它们被本地保存。Jones说：“有一些文档我们不准备传送到云中，但我要说95%的文档不属于这个级别。”

　　Corrigan说，全面的云计算安全需要一种整体的实现方式。他建议：“为了取得超级安全的数据，从如何保存它们入手，然后解决如何传输它们。通过某种双因素认证方案管理访问。如果你真正担心的话，你可以将你自己的认证服务器保留在公司内部――这保证你掌握控制权。”

遵从性问题

　　由于云计算将业务数据交到外部提供商手中，因此它使法规遵从性变得比系统保留在公司内部时的风险更大。失去直接的监管意味着客户公司必须验证服务提供商努力确保数据安全性和完整性坚固可靠。

　　Heiser指出任何云计算提供商应当自愿进行外部审计和安全认证，以确保特定控制的质量。他说：“不愿意合作是个警告标志。”

　　从业于严格管理的金融服务行业的Flax依靠SAS 70审计来确保他的云计算提供商符合政府和行业要求。他说：“现在有规定数据中心的SAS 70审计有什么要求的标准。” 由美国认证公共会计师协会开发的SAS 70审计涉及数据传输与保存技术和实践，包括网络运营、数据保护和物理安全元素。

　　Flax说：“我们非常仔细地阅读了这些审计标准，因为同审计某个人的账本一样，仅仅由于审计是全面的并不意味着它们完全符合要求。”

　　总的来看，IT经理越来越意识到云计算的安全弱点并控制它们的事实表明采用者开始现实地而不是透过有色眼镜看待这种新兴技术。

安全云计算五步走

　　了解云计算特有的松散结构对传送到它上面的数据安全有何影响。

　　确保云提供商能够提供有关其安全架构的详细信息并愿意接受安全审计。

　　确保内部安全技术和实践，如网络防火墙和用户访问控制，可以很好地契合云安全措施。

　　了解法律、法规对传送到云中的数据有何影响。

　　关注可能影响到数据安全的云技术和实践的变化。

突破云计算的迷雾

　　云计算是当前最热门的话题，无论是Google、微软，还是IBM、SUN他们都发布了云计算计划以及相关产品。但是对于普通消费者来讲，云计算到底是什么?又能够给消费者带来什么?

　　云计算其实简单的讲，就是简化客户端的处理能力，将更多的处理任务交给云计算端去做，两者之间通过互联网交换数据，最为典型的就是互联网搜索、邮件等服务，数据存储在互联网之上，而不是客户端计算机中，需要使用就可以随时获得。

　　同时，我们也看到微软虽然也积极的参与云计算，但是他们仍然担心开发云计算会砸掉自己的office等桌面软件生意，因为当一切都交给云端去处理的时候，使用在线编辑和存储，office桌面软件就不值钱了，即使降到199元一套，也会无人问津，这个时候微软这台印钞机就会挂掉。

　　而Google作为云计算的倡导者，也是为了颠覆微软的桌面软件系统，推出了多种apps，包括gmail、office online，也在构建大型的数据中心，希望将更多的数据都放到数据中心来运行，而并非客户端，但是到如今Google仍没有针对中国的中小企业以及个人推出云计算服务，原因是Google也有自己的顾虑，最重要的是这是否会影响其广告收入。

　　而SUN以及ORACLE虽然也提出要做云计算，但是同样存在顾虑。基于云计算的软件即服务SAAS正在利用云计算去替代桌面软件，oracle和sap等企业必然受到冲击，对于中小企业有较大的吸引力，而SUN是做服务器，如果中小企业不再需要自己搭建IT系统，那么SUN的服务器卖给谁?

　　既然微软、Google都存在自己的顾虑，所以笔者认为他们提出云计算的概念和计划只是为了抢占市场先机，同时也是为了抢先注册专利。用户等待他们大规模的推出云计算，估计不是一年两年的事情。但是这并不意味着，我们无法享受云计算这种成本更低的技术，因为在网络安全领域完全可以使用云计算降低成本，为用户带来更好的安全服务。

　　前几天，有消息说趋势科技公司在做“云安全”，大意是利用趋势科技在全球各地3万余台服务器，实时收集趋势科技全球用户的应用请求，并通过在云端的计算，判断这些请求是否是安全的，比如，一条链接或者一个按钮，趋势科技先通过存储在其云端的数据对这些请求进行鉴别，分析其是否是安全的链接和按钮，并瞬间给客户以反馈。

　　云端强大的存储和处理能力，完全可以保证用户得到的反馈是同步的，而目前的杀毒软件则无法实现这种快速分析处理，一般都是马后炮，也就是说只有大规模的感染了病毒，而这些病毒必须是他们事先存入服务器的代码，如果是变种病毒则无法拦截，我们看到臭名昭著的熊猫烧香病毒，杀毒软件们都是无能为力。

　　而通过遍布全球的服务器构建一个强大的云端，完全能够拦截病毒变种，而且这也大大减少客户端的处理任务，减少客户端内存占用，无需按时杀毒和升级软件，因为云端和客户端随时通过互联网交互信息，所有计算放到云端上进行，这大大节约了成本和时间，有效的控制了病毒传播。

　　总之，云计算是未来IT互联网产业发展的趋势，虽然目前还存在各种难以普及的问题，但是无论微软、oracle等企业多么希望死守桌面软件，这种成本低廉、性能超群的云计算还是会普及，而趋势科技等企业的“云安全”已经可以为普通用户提供服务，带来价值。