当新兴科技出现时,总是会有一些炒作,将会出现各种各样的术语、误解和神话。然而经验丰富的IT领导者对此有所了解。云计算在其炒作周期中有一个很好的运行过程,IT方面没有什么重大转变是一个主要原因。
当然,云计算现在已经历了过度炒作期,并且成为市场主流。但这并不意味着云计算的发展已经成熟,尤其是当涉及到公共云安全性时。
现在是重新澄清关于公共云安全的一些重大误解的时候了,其中一些涉及私有云或混合云环境,更不用说IT安全。
一些云计算安全专家将这些误区和神话改写为所对应的现实。以下是他们的建议:
误区1:公共云本质上是不安全的
这个是人们需要纠正的一个想法,这是云计算发展历史所经历的一个阶段。公共云与传统数据中心有不同的考虑因素吗?是的。这是否意味着公共云自动降低安全性?并不是。
瞻博网络全球安全策略总监Laurence Pitt表示:“当公共云是新生事物的时候,有人担心这项技术尚未得到证实的安全性,但事实已经不是如此。云计算技术始于20世纪90年代,这意味着云计算提供商有着多年的数据和应用访问经验,可以确保权利管理、强有力的治理和系统监控。”
当然,并不是所有的提供商都是一样的。Pitt指出公共云本身就是一个巨大的安全威胁。
现实1:公共云安全通常比内部部署数据中心的安全性更好
事实上,对于一些企业来说,利用一些云计算提供商的规模和实力可能实际上是更加高效的整体安全战略的一部分,特别是如果企业受到预算的限制或者只是像很多IT领导者一样,很难找到具备相应用安全技能的工作人员。
正如Red Hat公司技术布道者Gordon Haff最近指出的那样,企业可能过于担心公共云提供商的安全流程。“公共云的本质是云计算提供商使用专业人员、自动化流程和纪律来处理安全问题。”他表示。
误区2:不了解“公共云”的含义
Sumo Logic公司的首席安全官George Gerchow表示,关于公共云的误解的这个话题太广泛了。“这个问题需要进一步细分,以区分单一租户与多租户,还是公共云托管服务。”Gerchow说。
事实上,人们倾向于整合大量的东西,例如从软件到基础设施到开发平台,基本上是人们都可以附加的无处不在的“as-a-Service”(即服务),而这些都包含在一个巨大的“公共云”中。
对于一家公司而言,“公共云”可能意味着跨多个供应商的多个基础设施与私有云和/或本地部署基础设施相集成的环境,并作为混合云组合的一部分。而对于另一家公司而言,“公共云”可能只是意味着他们使用Google Apps或Office 365.
这导致了公共云安全的泛化,而这往往是偏离目标的。
例如,Gerchow在深入研究更加具体的公共云类别时看到了人们一个重要的误解。他说,“单租户云部署比多租户更安全是一个巨大的误解。”
现实2:公共云类型及其安全考虑因素可能会有很大差异
Gerchow的观点非常重要:将公共云安全视为一个同质化问题是错误的。从安全的角度来看,将所有公共云环境视为同一个环境也是错误的。作为公共云战略的一部分,企业必须区分特定类型的云环境,以及在那里处理和存储的数据等因素。而不同的组织对安全性、合规性、治理、SLA等方面有不同的需求和关注。因此,企业需要更加了解这些需求。
此外,如果将“公共云”想象成一些即将被黑客攻破的大型环境,那么将错失云计算所带来的机会。而这是一个误导。
“公共云提供商花费过多的资源来确保安全性最初架构的核心部分,并保持其网络和服务的稳固性。”CYBRIC 公司首席技术官兼联合创始人Mike Kail说。
同样,IT领导者必须了解他们正在使用的环境。企业应该深入挖掘自己的公共云提供商的服务,就像建设和运营自已的数据中心一样努力(而在数据中心,企业如果没有特别关注的问题,那么这可能意味着其整个安全配置文件需要审计)。
正如SAS公司的首席信息安全官Brian Wilson所说的那样,企业在云计算安全性(尤其是公共云)方面,需要深入了解其云计算提供商的能力以及这些能力如何满足自己的特定需求(可能需要多云策略才能满足企业的各种需求)。