企業(yè)或出于降低成本�,或出于創(chuàng)新的驅(qū)動(dòng),正不斷邁入云計(jì)算�。特別是在國(guó)內(nèi),政府對(duì)云計(jì)算發(fā)展重視有加�,政策、資金不斷下發(fā)促進(jìn)了云計(jì)算產(chǎn)業(yè)的發(fā)展�。近期,有消息指出工信部正在加緊編制云計(jì)算產(chǎn)業(yè)發(fā)展指導(dǎo)意見(jiàn)�,并有望于2013年兩會(huì)后正式出臺(tái)。因此2013年對(duì)于云計(jì)算而言�,將是大力發(fā)展、加速普及的一年�。
對(duì)此,賽門鐵克大中國(guó)區(qū)技術(shù)支持部總監(jiān)李剛認(rèn)為�,隨著云計(jì)算發(fā)展步入縱深,安全風(fēng)險(xiǎn)問(wèn)題將逐步揭露并在2013年日益顯著,但隨著業(yè)界重視程度不斷增加,云服務(wù)和產(chǎn)業(yè)環(huán)境將會(huì)向更安全方向演進(jìn)�。無(wú)獨(dú)有偶�,分析機(jī)構(gòu)Gartner報(bào)告預(yù)計(jì)�,云計(jì)算的增長(zhǎng)將會(huì)成為2013年各種安全趨勢(shì)的推動(dòng)力量,也從側(cè)面印證了2013年將是云計(jì)算安全發(fā)展的重要一年�。
影子IT擴(kuò)大安全風(fēng)險(xiǎn)
目前�,云計(jì)算所遭受的質(zhì)疑聲中�,最受關(guān)注與最大的挑戰(zhàn)便是安全。眾多研究報(bào)告指出安全是阻礙企業(yè)邁向云計(jì)算的首要因素�。同時(shí)對(duì)于眾多中國(guó)企業(yè),出于長(zhǎng)期自建自用IT資源的思維所致�,當(dāng)前對(duì)云計(jì)算服務(wù)模式接受度并不高,對(duì)數(shù)據(jù)安全性�、泄露風(fēng)險(xiǎn)等顧慮重重�。這在李剛看來(lái),其實(shí)可以轉(zhuǎn)化為企業(yè)如何衡量企業(yè)IT部門與業(yè)務(wù)部門的價(jià)值比重問(wèn)題�。
“企業(yè)決策者需要考慮IT系統(tǒng)本身的價(jià)值和首要價(jià)值是什么,其次�,明確企業(yè)自身提供的核心價(jià)值輸出是什么?!崩顒偙硎荆?dāng)IT部門是企業(yè)競(jìng)爭(zhēng)力的重要體現(xiàn)時(shí)�,可以通過(guò)云的方式將非核心價(jià)值部分交付給云服務(wù)供應(yīng)商,從而可以集中更多資源集中在競(jìng)爭(zhēng)價(jià)值上�。
企業(yè)通過(guò)云計(jì)算服務(wù)模式使其不用擔(dān)心自建IT設(shè)施所花費(fèi)成本,并提升信息化水平�,對(duì)于廠商、供應(yīng)商而言�,也能創(chuàng)造更多的市場(chǎng)機(jī)會(huì),是一個(gè)雙贏的選擇�。但鑒于云計(jì)算仍處于發(fā)展初期階段�,還需要一段時(shí)間進(jìn)行企業(yè)思維模式轉(zhuǎn)換及市場(chǎng)培育�。
同時(shí)對(duì)于即將或已將進(jìn)入云的企業(yè)而言,企業(yè)需要意識(shí)到云進(jìn)入到企業(yè)內(nèi)部后為企業(yè)帶來(lái)的安全管控變化�。目前隨著企業(yè)可以選擇的云服務(wù)逐漸增多,并且比傳統(tǒng)IT系統(tǒng)使用起來(lái)更為方便�,并有利于公司業(yè)務(wù)的快速響應(yīng),一些企業(yè)部門�、個(gè)人便放棄了需要長(zhǎng)時(shí)間開(kāi)發(fā)的傳統(tǒng)IT服務(wù),轉(zhuǎn)投立即使用的外部云端服務(wù)�。源于此,也出現(xiàn)了許多不受IT部門管控的影子IT服務(wù)(Shadow IT)�。這在李剛看來(lái),這些影子IT并沒(méi)有融入企業(yè)IT治理的合規(guī)流程�,在將企業(yè)數(shù)據(jù)托管在云端服務(wù)器的過(guò)程中,合規(guī)評(píng)估�、風(fēng)險(xiǎn)評(píng)估將變得十分困難。
李剛舉例表示�,目前許多企業(yè)人員都喜歡采用Dropbox云端存儲(chǔ)服務(wù)方便地隨時(shí)存取檔案,但其中很可能將公司一些項(xiàng)目敏感數(shù)據(jù)�、設(shè)計(jì)、知識(shí)產(chǎn)權(quán)等信息脫離公司管控�。這對(duì)于企業(yè)而言將是一個(gè)很大的風(fēng)險(xiǎn)泄露渠道。據(jù)國(guó)外一家存儲(chǔ)管理軟件公司Nasuni最近針對(duì)企業(yè)使用Dropbox的調(diào)查報(bào)告顯示�,受訪1300多位商業(yè)人士中,每5人就有1人在工作中使用Dropbox存儲(chǔ)商業(yè)文件,而且大部分人員均繞過(guò)IT部門私下使用�,其中,高層主管還是最大的使用族群�。
在上述情況下,企業(yè)既不能不允許采用影子IT服務(wù)�,因?yàn)楹芸赡芨?jìng)爭(zhēng)對(duì)手也正在采用此類云服務(wù)以提高生產(chǎn)效率,但采用后�,又存在許多潛在隱患?!斑@便需要一種折中的方案,使得企業(yè)內(nèi)部有能力將自身的IT管理�、遵從方法擴(kuò)張到云上去?!崩顒偙硎?,目前賽門鐵克針對(duì)這樣的需求已有相應(yīng)解決方案,其實(shí)質(zhì)是一種云安全網(wǎng)關(guān)�。企業(yè)內(nèi)部員工在使用云服務(wù),通過(guò)企業(yè)網(wǎng)絡(luò)連向外部時(shí)�,其就能夠識(shí)別出使用的云服務(wù),然后對(duì)云服務(wù)進(jìn)行管控�,并查看部門和員工使用云服務(wù)的過(guò)程中,是否符合公司的安全的策略�,是否有信息未經(jīng)審批透露出去等。
法規(guī)缺失制肘云服務(wù)普及
另外�,企業(yè)對(duì)云服務(wù)模式采用的增加還有賴于法律、法規(guī)環(huán)境的進(jìn)一步加強(qiáng)�。對(duì)于企業(yè)而言�,將非核心業(yè)務(wù)交付給云供應(yīng)商后�,需要法律、法規(guī)對(duì)于服務(wù)水平�、安全性、可靠性以及服務(wù)中斷等問(wèn)題及責(zé)任進(jìn)行界定�,但目前區(qū)別于美國(guó)等地,對(duì)信息服務(wù)有明確的規(guī)章制度�,目前我國(guó)相關(guān)法律、法規(guī)建設(shè)還在摸索階段�。
“這也是為什么在中國(guó)私有云比公有云的發(fā)展快的原因。因?yàn)樗接性茖?shí)際上是企業(yè)內(nèi)部試圖利用云的概念�,來(lái)增強(qiáng)IT靈活性、降低成本�;而公有云服務(wù)現(xiàn)在還存在這樣的問(wèn)題,這就需要衡量風(fēng)險(xiǎn)與回報(bào)的收益了�。”李剛說(shuō)道�。
但李剛也表示有很多時(shí)候在沒(méi)有法規(guī)的情況下,一些新生事物也很容易被用戶所接受�,最顯著的例子便是早期B2C、C2C發(fā)展歷程�。“最開(kāi)始電子商務(wù)發(fā)展時(shí)并未有很多的法規(guī)規(guī)定出臺(tái)�,當(dāng)大家發(fā)現(xiàn)電子商務(wù)特別方便時(shí),產(chǎn)業(yè)很快膨脹起來(lái)。對(duì)于中國(guó)云計(jì)算服務(wù)�,也并不排除這樣的可能性,或許某一天便爆發(fā)式增長(zhǎng)起來(lái)�,盡管法規(guī)可能會(huì)滯后一些?!?br>
私有云:服務(wù)器安全防護(hù)更重要
在李剛看來(lái),企業(yè)采用云計(jì)算服務(wù)后安全水平的降低并不是絕對(duì)的�。雖然公用云服務(wù)對(duì)于大型企業(yè)等,風(fēng)險(xiǎn)敞口擴(kuò)大�,但對(duì)于小型企業(yè)而言,或許是收斂了�。因?yàn)樾⌒推髽I(yè)可能本來(lái)安全資源投入有限,采用云服務(wù)后�,云服務(wù)供應(yīng)商的安全級(jí)別可能更高。無(wú)論如何�,企業(yè)采用云服務(wù)的顧慮,事實(shí)上可以歸結(jié)為企業(yè)有沒(méi)有意識(shí)到風(fēng)險(xiǎn)的存在�,以及有沒(méi)有能力去審核并證明安全性�。
另外,盡管企業(yè)在接受云服務(wù)模式時(shí)存在各種疑慮�,但許多企業(yè)并未忽略云計(jì)算所帶來(lái)的優(yōu)勢(shì),開(kāi)始搭建私有云�,降低成本、強(qiáng)化自身IT能力�。縱觀國(guó)內(nèi)云計(jì)算的整體發(fā)展,目前也呈現(xiàn)私有云發(fā)展靠前的現(xiàn)狀�。
“從安全角度看,實(shí)際上對(duì)企業(yè)而言�,私有云建設(shè)將風(fēng)險(xiǎn)更加集中了?!崩顒傉f(shuō)道。傳統(tǒng)企業(yè)內(nèi)部的系統(tǒng)建設(shè)都是成煙筒狀�,跨入云環(huán)境后,可能風(fēng)險(xiǎn)就更加集中了�。但“風(fēng)險(xiǎn)集中倒并不一定是壞事。當(dāng)風(fēng)險(xiǎn)集中之后后�,企業(yè)可能更容易去管控?!?br>
李剛解釋道,畢竟云環(huán)境跟傳統(tǒng)環(huán)境并不相同�,很多企業(yè)用虛擬化作為私有云的一個(gè)實(shí)現(xiàn)技術(shù),而在虛擬化環(huán)境中�,對(duì)系統(tǒng)的保護(hù)與原來(lái)的物理環(huán)境里是完全不一樣的。從企業(yè)內(nèi)部來(lái)看�,很可能是一個(gè)混合環(huán)境,即既有傳統(tǒng)的物理環(huán)境�,又有虛擬環(huán)境來(lái)構(gòu)成所謂的私有云。
在這種情況下�,便需要新技術(shù)去實(shí)施保護(hù)。例如傳統(tǒng)在一個(gè)數(shù)據(jù)中心的防護(hù)上�,是采用傳統(tǒng)的安全域�,通過(guò)網(wǎng)絡(luò)的方式去保護(hù)一個(gè)數(shù)據(jù)中心�,但是現(xiàn)在這種防護(hù)在虛擬化環(huán)境中并不夠用,同時(shí)因?yàn)樘摂M化環(huán)境很容易就跨越了傳統(tǒng)定義的域�,虛擬化環(huán)境使得安全域的概念模糊,邊界模糊�。“那么這時(shí)候�,企業(yè)就需要考慮到以前不太重視的直接對(duì)服務(wù)器的保護(hù)?!崩顒傊赋觯瑐鹘y(tǒng)在服務(wù)器端的很少實(shí)施安全保護(hù)�,一般業(yè)界均重視網(wǎng)絡(luò)、終端保護(hù)�,并仰仗于數(shù)據(jù)中心的網(wǎng)絡(luò)隔離等實(shí)施保護(hù)。但是在私有云中�,邊界相對(duì)模糊,并很容易被突破�,這個(gè)時(shí)候保護(hù)好服務(wù)器本身就顯得十分關(guān)鍵。
云計(jì)算催生新軟件交付模式
云計(jì)算作為IT發(fā)展的大背景�,對(duì)于企業(yè)而言既是機(jī)遇也是挑戰(zhàn),同時(shí)對(duì)于設(shè)備提供商�、技術(shù)服務(wù)提供商而言�,云計(jì)算帶來(lái)的更是變革!對(duì)于賽門鐵克而言也不例外�。
目前�,利用云計(jì)算包括賽門鐵克在內(nèi)的軟件廠商已有自己新的業(yè)務(wù)模式出現(xiàn)�。傳統(tǒng)軟件均是以許可證的方式提供給用戶,用戶通過(guò)許可證授權(quán)自行安裝�。而云模式誕生后,許多軟件�、服務(wù)便可以通過(guò)云模式提交給用戶,免除了用戶自行買軟件�、搭系統(tǒng),再將搭建環(huán)境集成到現(xiàn)有環(huán)境中的復(fù)雜實(shí)施�,而這些軟件廠商在云時(shí)代便成功轉(zhuǎn)身為云服務(wù)提供商。據(jù)悉�,目前,賽門鐵克已經(jīng)可以向全球客戶提供16種云服務(wù)�,包括備份、歸檔�、網(wǎng)絡(luò)安全、加密�、業(yè)務(wù)連續(xù)性、驗(yàn)證服務(wù)等�。同時(shí)賽門鐵克也即將在中國(guó)開(kāi)展云服務(wù)Symantec.cloud以滿足企業(yè)在安全性、靈活性與高效率方面的需求�。
同時(shí),通過(guò)云模式將IT安全服務(wù)等交付給用戶也將成為未來(lái)IT安全發(fā)展的重要趨勢(shì)�。Gartner預(yù)測(cè),到2015年�,10%的IT安全企業(yè)功能將通過(guò)云計(jì)算交付�,雖然目前的焦點(diǎn)仍在于通信�、Web安全和遠(yuǎn)程漏洞評(píng)估。然而�,預(yù)計(jì)還將出現(xiàn)更多技術(shù)來(lái)支持云計(jì)算的成熟發(fā)展,例如數(shù)據(jù)丟失防護(hù)�、加密、身份驗(yàn)證等�。
事實(shí)上,包括但不限于云服務(wù)供應(yīng)商�,在云時(shí)代,李剛表示賽門鐵克將扮演三大角色:一是賽門鐵克本身就是云服務(wù)供應(yīng)商�;二是其將幫助用戶搭建云;三是幫助用戶安全可靠地使用云�。
對(duì)話:賽門鐵克大中國(guó)區(qū)技術(shù)支持部總監(jiān) 李剛
Q:云計(jì)算經(jīng)過(guò)幾年探討,逐漸走向落地�,2013年云計(jì)算發(fā)展將會(huì)呈現(xiàn)什么特點(diǎn)?
李剛:2013年云計(jì)算的應(yīng)用和普及會(huì)進(jìn)一步加速�。因?yàn)樵朴?jì)算為業(yè)務(wù)帶來(lái)的回報(bào)仍高于初期的投入成本,而且中國(guó)在云計(jì)算領(lǐng)域有大量的前期投入�,包括政府在內(nèi)均投入大量資源建設(shè)產(chǎn)業(yè)園、云基地等�,這些預(yù)先投入將在2013年逐漸展現(xiàn)出它的推動(dòng)力量和拉動(dòng)力量,并降低云計(jì)算的進(jìn)入門檻�。
另一方面,云計(jì)算所帶來(lái)的風(fēng)險(xiǎn)將從2013年開(kāi)始日益顯著。目前業(yè)界在這方面的關(guān)注程度�、意識(shí)還不夠高,所以在前期會(huì)出現(xiàn)一些云計(jì)算風(fēng)險(xiǎn)的問(wèn)題�。隨著這些風(fēng)險(xiǎn)的逐步揭示,業(yè)界可能會(huì)更加重視云計(jì)算及其風(fēng)險(xiǎn)問(wèn)題�,可能促使未來(lái)云計(jì)算服務(wù)、環(huán)境變得更加安全�。
Q:對(duì)于云計(jì)算潛在風(fēng)險(xiǎn),企業(yè)應(yīng)該怎么應(yīng)對(duì)�?
李剛:首先企業(yè)、用戶需要知道風(fēng)險(xiǎn)是確實(shí)存在�,并了解其在什么地方,然后借助一些新的技術(shù)手段去管理這些風(fēng)險(xiǎn)�。事實(shí)上,最為關(guān)鍵的問(wèn)題在于企業(yè)能不能承認(rèn)風(fēng)險(xiǎn)的存在�,并去部署這些技術(shù)和手段。
Q:目前國(guó)內(nèi)企業(yè)在私有云搭建過(guò)程中有哪些誤區(qū)�,及值得關(guān)注的地方?
李剛:國(guó)內(nèi)企業(yè)在私有云搭建上�,思路應(yīng)不要太拘泥于一些樣式和技術(shù),其實(shí)很多IT新事物出現(xiàn)后�,均會(huì)有這個(gè)現(xiàn)象。對(duì)于私有云和虛擬化�,企業(yè)有時(shí)候會(huì)產(chǎn)生一些混淆,認(rèn)為虛擬化后就是云�,或者認(rèn)為只要是云就必須虛擬化。實(shí)際上兩者沒(méi)有必然的推導(dǎo)關(guān)系�,因?yàn)樵颇J礁匾橇鞒?、使用方式�,是服?wù)的一種方式,例如包含按需擴(kuò)展等特點(diǎn)�,并不在于用什么技術(shù)實(shí)現(xiàn)。
另外�,在私有云建設(shè)的時(shí),需要把安全建設(shè)考慮在先�,因?yàn)樗吘故且粋€(gè)云模式,打破了傳統(tǒng)IT建設(shè)里面以邊界�、安全域?yàn)槌霭l(fā)點(diǎn)的一些安全防護(hù)的建設(shè)思路。再者安全要前置�、主動(dòng),把安全這種防控手段跟云的建設(shè)同時(shí)考慮�,并且在私有云模式下,這也變得可行�。
來(lái)源:通信世界周刊 作者:李璐
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”�,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章�,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056�。
延伸閱讀
