公有云安全探索中寻求破题之道

也许有一天，云安全厂商和云服务供应商将说服企业的CIO们，可以放心将企业安全敏感数据和重要程序从私有云搬家到公有云平台，但不幸的是，这一天还远没有到来。

笔者专访的信息安全从业者、顾问和分析师表示，云安全厂商和云服务供应商在企业信息化应用方面，还有很长的路要走，在公共和私有云混合部署前，他们需要为企业客户提供一个便捷、安全的公共云空间。

公共云安全问题已经成为全球企业信息化转型的关键

关于企业IT部门将非敏感数据存储放入公有SaaS平台的问题，业界人士表示，如果放入类似Salesforce公司这种可信实体的话，大约要耗时六个月到两年不等。

因此，企业对安全问题的思考，毫不犹豫地附加在公有云平台上。什么成为了阻碍公共云发展的关键？针对IT专业人士进行的一项云计算跟踪民意调查显示，有如下四项重点：

如何确保多租户通过虚拟网络通信渠道使用的安全;

移动互联时代如何保证用户通过移动终端使用公有云的安全性;

是否有成熟的扩展现有身份认证和访问控制机制，在企业用户使用公有云过程中，提供相对一致的路径;

当数据需要修改时，如何信任的加密和标记化模型，以充分保护敏感数据存储在公共云的安全。

这些潜在的安全问题，构成了一场云时代企业信息化的技术辩论。安全方面的技术问题是复杂事实，公共云提供商却是出了名的演说家，他们不愿提供其基本安全实践的标准和案例。对于一家企业用户而言，云服务提供商需要有保密等基础服务，这对于用户审计及规定的巡查是极其必要的。

同时，所有受访者均表示，对从事公有云安全服务的企业表示有信心，根据目前云安全企业在私有云的占有力度，公有云平台预计也将达到一定水平。

成长的烦恼

布劳恩瓦卡数字媒体公司(Waka Digital Media)总裁兼首席运营官雅各布.博朗(Jacob .Braun)表示，该公司正在从事公有云的托管安全服务及顾问咨询工作，相比之前的起步阶段，目前他们在美国一些地区已经得到了发展。

“公有云就像一个天才少年搬到新的社区群体中，他的与众不同让别人看起来不可思议，人们因为这种好奇而感兴趣，进而关注并预测其未来发展。给他多一点时间，大部分人都会了解天才的知名度。” 博朗说。分析师、顾问和客户也谈到，他们从这些厂商中，正在寻找公有云安全的破题之道。

前思杰公司CTO和创始人西蒙.克罗斯比(Simon.Crosby)也表示，在使用虚拟化产品方面，他们开始寻求建立安全的移动客户端。“今天修建的公共云结构实际可以承受比任何私人网络都严重的攻击。”西蒙.克罗斯比说。

但根据云安全研究机构调查，IDC安全产品项目用户却不看好这一点。当被问及是否认为云供应商的架构可以比自己的私有云安全时，只有三分之一的受调查者表示认同。然而，那些已经部署好公有云和混合云的企业用户，却有一半以上一致认为，供应商提供的服务比他们各自的IT团队安全。

EMC公司虚拟云咨询服务经理理查德.里斯(Richard Rees)谈到，有一些企业的业务工作负载，可以大大提高他们推到公共云的安全态势。例如，在IDC的调查中，受访的250家中小企业中，有30%在云平台使用了最流行的信息安全软件。里斯说：“在公有云中，IT安全管理员可以更加快速便捷的了解数字签名、公共/私人密钥加密、安全电子邮件等安全参数，这种高水平的保护方式，是以前所不能达到的。”

云安全的落地思考

公共云业务模型的关键在于对动态的环境，它可以承载许多不同的工作任务，可以随意移动和优化底层的基础设施。用户要确保有关信息控制的到位，以保护他们的数据免受攻击，并希望通过查看有关控件的信息，形成一个非常精细的安全管理系统。

ISACA 2011年的调查显示，45%的人认为云计算的风险多于其有益一面

但这种详细程度往往是大多数公共云提供商商业模式范围之外的。公共云提供商对安全实施细节守口如瓶。他们不想透露安全的做法，以避免暴露其竞争优势;另外，他们不希望将安全风险暴露在媒体的聚光灯下。

因此，一个管理妥当和配置合格的公共云应用程序能够达到很好的安全性。安全已经成为云计算在企业信息化发展中的关注重点。安全也一直被说成是私有云固有的好处和公有云的基本缺陷。实际上，事实比这些情况暗示的还要模糊不清。断言公共云环境有企业信息安全的缺陷，不认真考虑如何缓解这些不安全因素，似乎是不负责任的。

公有云安全从来都不是一个非黑即白的简单问题，寻找公有云安全的破题之道，落地的做法是询问必须采取什么行动才能实现在时间、预算的条件下，尽可能保证应用程序在公有云平台环境中实现安全运行的目标。