安全:公有云落地的第一要务
刘波成 199IT

公有云,一个炙手可热的词汇,一个众说纷纭的技术,一个尚未成熟的市场。这三个看似矛盾的现状,源发于Google在技术领域的努力,开始于亚马逊在市场领域的开拓,呈现于各大厂商的角力之中。

作为一种通过互联网提供免费或成本低廉的信息服务模式,公有云从一开始就引发各方争论。关于它的每个技术细节、业务运作及市场前景,各方立场的不同,导致各自对它的评判也是“公说公有理,婆说婆有理”,但核心问题,还是围绕着“价格”和“安全”来展开。

公有云:价格or安全,谁是第一位?

对于一项新兴技术来说,落地始终是实现价值的唯一途径,公有云也不例外。在市场推进的过程中,随着竞争角色的增多,多方之间的博弈也走向深入。在公有云这个领域,愈演愈烈的价格战,其实只是市场竞争的表象。这背后隐藏的业务问题和市场心态,才是应该关注的重点。

在中国,公有云服务商之间的价格战正打的如火如荼,亚马逊、谷歌、IBM、阿里等这些云服务巨头的服务正在变得比此前更加活跃,但商家们似乎普遍都没有抓住最核心的问题。

对于一种产品或服务,价格只是代表了用户成本的降低,并没有触及用户需求的核心诉求。而安全相较于价格,则更为根本。安全代表了产品内含的未来风险,是公有云服务商进入市场的最大前提。有观点认为,公有云的价格与安全之间两者之间存在相关性,低价往往导致低质,低质必然引发故障频发,故障频发最终会导致安全无着,成为公有云发展的最大问题。

对于公有云的客户和用户来说,数据的安全性始终是其心中最重要的衡量标准。以往只存储在自己电脑里、看得见摸得着的东西,现在通过公有的方式,在云端实现操作,谁都会考虑是否安全这个问题。在没有云的时代,PC的数据安全问题导致的隐私外泄、财产损失事件已经屡见不鲜,各种“门”事件让你我心中留下了伤痕,成为抹不去的刻板记忆。

在公有云服务出现后,市场接受度并不高、行业长远发展也遇到阻碍,企业客户或者终端用户们最担心的是,云服务商不断地、“无节操”地降低价格,是否同时也保障了安全风控?如果没有,这会否埋下一个“定时炸弹”?可见,即便在技术进化到云计算时代,安全问题依旧没有得到完全的、通行的、标准化的解决,“安全”已成为公有云至今未得到市场普遍认可的首要阻碍。

公有云安全:是不是问题?

谈到公有云的安全,支持的一方往往出于为产品宣传做铺垫,从技术实力对比出发,得出公有云其实更安全的结论,这其中的代表包括提供公有云服务的企业、力推公有云发展的行业部门等。

他们普遍表示,公有云往往由具备技术实力的大企业提供服务,他们提供了可靠、安全的数据中心,个人在安全方面的技术水平无法与其相比,就如同你将钱存在银行其实比放在自己口袋里更安全一样,让更专业的人来帮你实现数据存储或处理,将会具有更高安全系数。谷歌公有云项目GAE方面负责人Eran Feigenbaum就曾经表示,“公有云现在已经足够安全让企业可以用它来保存数据,而不会感到他们承担了某些风险。”

对此,反对的一方并不认同。他们出于对使用方式的担忧,以业务情景出发,得出公有云的安全性还有待加强的结论,这方面的代表主要有个人终端用户、使用公有云服务的企业、部分行业专家等。

反对方的观点是,公有云目前仍然没有通行标准,各行其是的情况普遍存在,很多安全漏洞没有引起行业层面的重视,数据盗用风险仍较大,用户或企业不可能将大量数据放到公有云当中。

比较以上两种主流观点,可以发现,公有云在整个市场层面的接受度仍然有待商榷。这一情况产生的原因主要还是聚焦在安全上,要搬开这个拦路石,需要对公有云安全问题进行清晰梳理。

公有云安全的五个问题

公有云的安全问题,沿袭了互联网安全的基因,又带有业务层面的个性特征。目前,主要集中在以下五个方面:

——数据问题  通常情况下,数据价值越大、敏感性越强、开放程度越高,对由于公有云的开放程度较高,企业完全迁移公有云的数据价值大,业务层面的数据敏感性强,所以企业客户对安全性和合规性的需求比较高。

但从现有技术水平来看,目前并没有充分的方式来保证数据的安全,尽管亚马逊、谷歌、微软、华为、阿里等国内外云服务厂商也根据各自的客户需求,进行了一些有针对的探索,但是并未形成统一的数据保护和加密机制。

——防护问题  目前,提供云服务的厂商,往往在安全防护方面的没有直接的管控模块,对于可能发生的攻击,部分采取外包的形式交给第三方来提供基础保障,造成云端的防护功能并不完全可控。安全防护工作,并不是一个“非此即彼”的问题,而是一个利益与质量之间的权衡和度量问题。

——标准问题  在公有云的各种产品中,并没有一个可以互联互通的一个标准化协议,厂商之间也只是与各自的合作伙伴进行内部开发。一旦出现需求变更、数据迁移、突发事件等状况,用户的业务衔接必将出现断层,引发连锁反应。

——透明问题  公有云服务商往往宣称自己的服务如何全面、技术如何先进、流程设计如何科学,但是表面上的言辞并不能解决客户心底的顾虑。由于商业方面的原因,服务商一般会回避自身的短板,如平台迁移、灾备方式、业务连续性等。公有云业务体系的不透明,成为市场进一步发育的障碍。

——规则问题  在用户业务、文档、数据生成的过程中,由于行业目前还没有细化相关责任归属的法律文本,只是以出售固定信息产品的形式来确定权责,基于用户具体业务操作过程中的安全责任问题,没有过多阐述,给服务商提供了规避的机会。鉴于此,有人建议称,云提供商应为客户提供某种证书,以证明他们的云已经满足了安全保存数据的法律和规则要求。

面对以上问题,在中国公有云市场上,提供云服务的企业们,不论是运营商主导的、互联网巨头打造的、部分原IDC运营商改进的,还是跨国公司由国外引入的,都一直未能得出通用的可落的安全性解决方案。为此,公有云企业客户和终端用户、行业研究专家都曾经为解决这些问题表示过呼吁。

值得注意的是,为提升信息技术产品的安全性和可控性。信息安全目前已上升到国家的战略层面,作为互联网的大脑,公有云安全方面的重要性也关乎到国家安全。在这样的大环境下,无论是提升公有云服务安全水平、开展更有保证的落地推广,还是促进行业健康发展方面,都将出现一个难得的跃迁契机。

总结

展望公有云的未来前景,我们需要有标准规范、需要有准入机制、需要有顶层推动,但所涉及的方面,不能仅是技术上的简单融合,更重要的还有服务质量、市场规则方面的细化。不论如何,安全问题作为公有云市场必须解决的第一要务,需要首先得到关注。

CIO之家 www.ciozj.com 公众号:imciow
关联的文档
也许您喜欢