2013年云计算风险问题或愈加显著

企业或出于降低成本,或出于创新的驱动,正不断迈入云计算。特别是在国内,政府对云计算发展重视有加,政策、资金不断下发促进了云计算产业的发展。近期,有消息指出工信部正在加紧编制云计算产业发展指导意见,并有望于2013年两会后正式出台。因此2013年对于云计算而言,将是大力发展、加速普及的一年。

对此,赛门铁克大中国区技术支持部总监李刚认为,随着云计算发展步入纵深,安全风险问题将逐步揭露并在2013年日益显著,但随着业界重视程度不断增加,云服务和产业环境将会向更安全方向演进。无独有偶,分析机构Gartner报告预计,云计算的增长将会成为2013年各种安全趋势的推动力量,也从侧面印证了2013年将是云计算安全发展的重要一年。

影子IT扩大安全风险

目前,云计算所遭受的质疑声中,最受关注与最大的挑战便是安全。众多研究报告指出安全是阻碍企业迈向云计算的首要因素。同时对于众多中国企业,出于长期自建自用IT资源的思维所致,当前对云计算服务模式接受度并不高,对数据安全性、泄露风险等顾虑重重。这在李刚看来,其实可以转化为企业如何衡量企业IT部门与业务部门的价值比重问题。

“企业决策者需要考虑IT系统本身的价值和首要价值是什么,其次,明确企业自身提供的核心价值输出是什么。”李刚表示,当IT部门是企业竞争力的重要体现时,可以通过云的方式将非核心价值部分交付给云服务供应商,从而可以集中更多资源集中在竞争价值上。

企业通过云计算服务模式使其不用担心自建IT设施所花费成本,并提升信息化水平,对于厂商、供应商而言,也能创造更多的市场机会,是一个双赢的选择。但鉴于云计算仍处于发展初期阶段,还需要一段时间进行企业思维模式转换及市场培育。

同时对于即将或已将进入云的企业而言,企业需要意识到云进入到企业内部后为企业带来的安全管控变化。目前随着企业可以选择的云服务逐渐增多,并且比传统IT系统使用起来更为方便,并有利于公司业务的快速响应,一些企业部门、个人便放弃了需要长时间开发的传统IT服务,转投立即使用的外部云端服务。源于此,也出现了许多不受IT部门管控的影子IT服务(Shadow IT)。这在李刚看来,这些影子IT并没有融入企业IT治理的合规流程,在将企业数据托管在云端服务器的过程中,合规评估、风险评估将变得十分困难。

李刚举例表示,目前许多企业人员都喜欢采用Dropbox云端存储服务方便地随时存取档案,但其中很可能将公司一些项目敏感数据、设计、知识产权等信息脱离公司管控。这对于企业而言将是一个很大的风险泄露渠道。据国外一家存储管理软件公司Nasuni最近针对企业使用Dropbox的调查报告显示,受访1300多位商业人士中,每5人就有1人在工作中使用Dropbox存储商业文件,而且大部分人员均绕过IT部门私下使用,其中,高层主管还是最大的使用族群。

在上述情况下,企业既不能不允许采用影子IT服务,因为很可能竞争对手也正在采用此类云服务以提高生产效率,但采用后,又存在许多潜在隐患。“这便需要一种折中的方案,使得企业内部有能力将自身的IT管理、遵从方法扩张到云上去。”李刚表示,目前赛门铁克针对这样的需求已有相应解决方案,其实质是一种云安全网关。企业内部员工在使用云服务,通过企业网络连向外部时,其就能够识别出使用的云服务,然后对云服务进行管控,并查看部门和员工使用云服务的过程中,是否符合公司的安全的策略,是否有信息未经审批透露出去等。

法规缺失制肘云服务普及

另外,企业对云服务模式采用的增加还有赖于法律、法规环境的进一步加强。对于企业而言,将非核心业务交付给云供应商后,需要法律、法规对于服务水平、安全性、可靠性以及服务中断等问题及责任进行界定,但目前区别于美国等地,对信息服务有明确的规章制度,目前我国相关法律、法规建设还在摸索阶段。

“这也是为什么在中国私有云比公有云的发展快的原因。因为私有云实际上是企业内部试图利用云的概念,来增强IT灵活性、降低成本;而公有云服务现在还存在这样的问题,这就需要衡量风险与回报的收益了。”李刚说道。

但李刚也表示有很多时候在没有法规的情况下,一些新生事物也很容易被用户所接受,最显著的例子便是早期B2C、C2C发展历程。“最开始电子商务发展时并未有很多的法规规定出台,当大家发现电子商务特别方便时,产业很快膨胀起来。对于中国云计算服务,也并不排除这样的可能性,或许某一天便爆发式增长起来,尽管法规可能会滞后一些。”

私有云:服务器安全防护更重要

在李刚看来,企业采用云计算服务后安全水平的降低并不是绝对的。虽然公用云服务对于大型企业等,风险敞口扩大,但对于小型企业而言,或许是收敛了。因为小型企业可能本来安全资源投入有限,采用云服务后,云服务供应商的安全级别可能更高。无论如何,企业采用云服务的顾虑,事实上可以归结为企业有没有意识到风险的存在,以及有没有能力去审核并证明安全性。

另外,尽管企业在接受云服务模式时存在各种疑虑,但许多企业并未忽略云计算所带来的优势,开始搭建私有云,降低成本、强化自身IT能力。纵观国内云计算的整体发展,目前也呈现私有云发展靠前的现状。

“从安全角度看,实际上对企业而言,私有云建设将风险更加集中了。”李刚说道。传统企业内部的系统建设都是成烟筒状,跨入云环境后,可能风险就更加集中了。但“风险集中倒并不一定是坏事。当风险集中之后后,企业可能更容易去管控。”

李刚解释道,毕竟云环境跟传统环境并不相同,很多企业用虚拟化作为私有云的一个实现技术,而在虚拟化环境中,对系统的保护与原来的物理环境里是完全不一样的。从企业内部来看,很可能是一个混合环境,即既有传统的物理环境,又有虚拟环境来构成所谓的私有云。

在这种情况下,便需要新技术去实施保护。例如传统在一个数据中心的防护上,是采用传统的安全域,通过网络的方式去保护一个数据中心,但是现在这种防护在虚拟化环境中并不够用,同时因为虚拟化环境很容易就跨越了传统定义的域,虚拟化环境使得安全域的概念模糊,边界模糊。“那么这时候,企业就需要考虑到以前不太重视的直接对服务器的保护。”李刚指出,传统在服务器端的很少实施安全保护,一般业界均重视网络、终端保护,并仰仗于数据中心的网络隔离等实施保护。但是在私有云中,边界相对模糊,并很容易被突破,这个时候保护好服务器本身就显得十分关键。

云计算催生新软件交付模式

云计算作为IT发展的大背景,对于企业而言既是机遇也是挑战,同时对于设备提供商、技术服务提供商而言,云计算带来的更是变革!对于赛门铁克而言也不例外。

目前,利用云计算包括赛门铁克在内的软件厂商已有自己新的业务模式出现。传统软件均是以许可证的方式提供给用户,用户通过许可证授权自行安装。而云模式诞生后,许多软件、服务便可以通过云模式提交给用户,免除了用户自行买软件、搭系统,再将搭建环境集成到现有环境中的复杂实施,而这些软件厂商在云时代便成功转身为云服务提供商。据悉,目前,赛门铁克已经可以向全球客户提供16种云服务,包括备份、归档、网络安全、加密、业务连续性、验证服务等。同时赛门铁克也即将在中国开展云服务Symantec.cloud以满足企业在安全性、灵活性与高效率方面的需求。

同时,通过云模式将IT安全服务等交付给用户也将成为未来IT安全发展的重要趋势。Gartner预测,到2015年,10%的IT安全企业功能将通过云计算交付,虽然目前的焦点仍在于通信、Web安全和远程漏洞评估。然而,预计还将出现更多技术来支持云计算的成熟发展,例如数据丢失防护、加密、身份验证等。

事实上,包括但不限于云服务供应商,在云时代,李刚表示赛门铁克将扮演三大角色:一是赛门铁克本身就是云服务供应商;二是其将帮助用户搭建云;三是帮助用户安全可靠地使用云。

对话:赛门铁克大中国区技术支持部总监 李刚

Q:云计算经过几年探讨,逐渐走向落地,2013年云计算发展将会呈现什么特点?

李刚:2013年云计算的应用和普及会进一步加速。因为云计算为业务带来的回报仍高于初期的投入成本,而且中国在云计算领域有大量的前期投入,包括政府在内均投入大量资源建设产业园、云基地等,这些预先投入将在2013年逐渐展现出它的推动力量和拉动力量,并降低云计算的进入门槛。

另一方面,云计算所带来的风险将从2013年开始日益显著。目前业界在这方面的关注程度、意识还不够高,所以在前期会出现一些云计算风险的问题。随着这些风险的逐步揭示,业界可能会更加重视云计算及其风险问题,可能促使未来云计算服务、环境变得更加安全。

Q:对于云计算潜在风险,企业应该怎么应对?

李刚:首先企业、用户需要知道风险是确实存在,并了解其在什么地方,然后借助一些新的技术手段去管理这些风险。事实上,最为关键的问题在于企业能不能承认风险的存在,并去部署这些技术和手段。

Q:目前国内企业在私有云搭建过程中有哪些误区,及值得关注的地方?

李刚:国内企业在私有云搭建上,思路应不要太拘泥于一些样式和技术,其实很多IT新事物出现后,均会有这个现象。对于私有云和虚拟化,企业有时候会产生一些混淆,认为虚拟化后就是云,或者认为只要是云就必须虚拟化。实际上两者没有必然的推导关系,因为云模式更重要是流程、使用方式,是服务的一种方式,例如包含按需扩展等特点,并不在于用什么技术实现。

另外,在私有云建设的时,需要把安全建设考虑在先,因为它毕竟是一个云模式,打破了传统IT建设里面以边界、安全域为出发点的一些安全防护的建设思路。再者安全要前置、主动,把安全这种防控手段跟云的建设同时考虑,并且在私有云模式下,这也变得可行。