探索中国CIO人才现状 | 第四季调研报告
云计算守则:安全至上 人人有责
2013-10-15  作者:比特网 

  云计算已经不再是阳春白雪,如今它已经稳步走进寻常百姓家。事实上,任何一家尚未涉足云计算的企业都有理由认真对这项新技术进行考量。云计算带来的积极因素是显而易见的:灵活性、对优势资源进行按需访问(只在必要的时间与位置才会使用),通常能为我们带来极具吸引力的低廉单位成本与复杂性削减。


  不过将数据保存在云环境中的一大障碍在于我们对于安全性的担忧。前一阵子闹得沸沸扬扬的“棱镜门”事件敲响了警钟,我们意识到美国国家安全局正将监控程序接入到各大网站当中疯狂获取用户数据--这进一步增加了我们对于云环境下数据隐私遭受破坏的恐惧与担忧。根据研究企业Forrester公司的估算,棱镜门事件给云计算产业造成的隐性损失可能高达1800亿美元。


  抛开棱镜门不谈,与发展迅猛的云功能相比、云安全的前进脚步也确实显得有些滞后。尽管目前已经有众多法律及行业标准对信息的维护加以管控,云计算的可靠性、正常运行时间以及灾难恢复措施等要素也已经得到显著改善,但我们仍然没能在监控、审计以及企业治理机制等领域迎来理想的解决办法。举例来说,安全监控的成熟程度远远低于运营绩效监控。


  直观性的缺失被视为大部分管理人员拒绝云计算的主要阻力,因为他们无法及时发现当前运行状态、所以也就无法及时做出反应以保障工作的正常进行。我们也可以理解许多管理员对于云环境下数据安全监控机制的不信任。毕竟与传统的内部数据存储体系相比,云计算所使用的硬件与网络完全由第三方服务供应商所掌控。把自己的命脉交到别人手上,感觉当然不会太好。


  尽管存在上述负面因素,我们仍然感觉到云计算技术普及的强烈动力--我们似乎必须要以某种形式将其引入自己的业务环境。鉴于数据总量、用户及设备接入数量在当今时代下的持续走高,惟一能够满足客户、员工以及合作伙伴对个人体验及实时信息访问能力要求的途径就只有借助云服务了。


  第一步要做的是决定哪种类型的云环境最适合自身组织对安全性的要求。为了确保数据能够在云环境中得到正确保护,企业需要了解哪些数据将以云体系作为基础、如何监控数据的访问流程、目前存在哪些安全漏洞以及怎样证明控制措施足以满足监管职责。


  随着云计算的发展,某些安全问题可能有所缓和、但另一些问题则可能愈演愈烈,不过大家不必太过慌张--大部分传统安全原则在云领域仍然有效。换言之,我们应该将保存在云体系中的数据当作本地数据加以保护与处理。


  对数据资产进行评估是了解云安全级别需求的重要前提,因此我们必须重新审视安全策略并在必要时加以更新,从而使其能够真正与变化相契合,最终让现有基础设施向云技术过渡之路变得更加通畅。