云计算进程拦路虎:云安全和数据保密性
Chris Weitz是德勤咨询公司的一位主管,主要负责金融服务咨询公司团队对于云计算的建议服务。他已经在这个岗位上工作五年了,之前供职于一德勤全球咨询工作长达九年时间。在IT领域他拥有超过30年的经验。
因此,Weitz见证了云计算对IT业界产生的影响。德勤近期关于实施混合云环境挑战的调查中,950人参与投票,49%投票给了云安全和数据保密性,他认为主要的云提供商其实要比人们想的好很多。
记者:参与德勤投票的950人中。36%认为隐私保护是最主要的关心问题。您觉得是为什么呢?
Chris Weitz:隐私性保护确实是人们关心的一个大问题,因为不同的地方有不同的法律治理信息的使用,如果保护不当就会造成严重的结果。欧洲会用欧盟法律更多的关注个人信息和个人隐私,要比世界上其他的地方更为严格。美国并不严格,但是仍有清楚的条规和法律治理信息的使用,尤其是医疗信息和个人金融信息。因此,任何管理控制的人都要格外注意他们如何管理的,尤其是当数据转移到自己物理控制之外的地方。
当然一个大问题是数据并不是物理的存储在云计算环境中的任何一台计算机上,而是分布在无数台机器上,因此没有一个固定的物理地点可以供你检查。所有的都是靠软件实现,软件的定义不能直接看见,因此你需要其他的软件来监察软件。这些新的软件监测工具还没与被广泛的应用,这是一个新兴的领域。因此人们很自然地怀疑在这个层面上没有合适的能够确认的物理地点或者是围绕自己的数据的安全控制,而且能够确保他们的数据能够在需要的时候得到,而不是错误传递。
记者:未来如何处理这个问题呢?
Chris Weitz:新兴的答案是数据将会在内容层本身被保护,换句话说,不论存放在哪里都行,因为数据是加密的。
在数据特征和权限上也会有很多基于用户的访问和认证。安全并不是基于是你是否访问这个环境,而是基于作为用户的认证和允许你看到什么,软件在这样的云环境中更为复杂才能管理。
这些都在持续发展中,使其更加的安全。我认为云厂商现在做的工作很好,我觉得没人会指控他们弄出了新的安全风险,但是企业用户在理解这些安全和隐私机制如何工作的时候稍微有点滞后。
记者:24%列出了网络威胁安全。现状究竟如何呢?
Chris Weitz:企业用户主要的问题是如果你的系统被第三方操作,尤其是大量流量拥挤的第三方,像主要的云提供商,可能就会有潜在的爱闹事的人偷偷访问你的信息或者攻击你的系统。这一点永远都是存在的,但是现在问题更加明显,因为这些系统的可视性和品牌性都使其公诸于众。
而实际上,我希望这些厂商更少和更大,因为你可以集中资源在更少的攻击点上。云计算公司对于世界的最佳安全有很大很大的激励作用,因为他们整个的业务都依赖于这些,有证据显示运功的安全比任何其他的都安全,包括任何企业或者合作组织。他们能够租用到世界上最好的人才,并把所有钱都投资在其中,而且他们这样做了。
记者:那么,安全如果有保障,云计算就到了黄金时间了吗?
Chris Weitz:我个人的观点是这种担心逐渐会消失,因为用不了几年就会有领导厂商解决这个问题,这是一种早期的现象,一旦云市场成熟一点,我觉得就会出现一种合理的成熟状态,像其他的东西一样。
关于云计算,没有什么是本质上就危险的。什么都不是,担心危险就是因为这是个新技术。
记者:您对于哪些担心云安全的客户有什么建议?有什么好的经验介绍吗?
Chris Weitz:所有典型的安全和隐私建议都差不多。环境是关键,就像任何新技术一样,你需要要理解不同之处,但是你也要知道什么是相同的。你永远不可能外包责任义务。
无论产业怎么变化,或者新一代的架构如何应用,你必须尽职尽责的调查确保你的厂商正在做正确的事情,你所使用的是正确的左心的方法,能够符合自己的功能。你不能在新的架构上用旧的方法,也不能在没有检查的情况下假设厂商将会做什么。就像一种升级或者刷新:你必须去测试一下才知道。