我同很多傳統(tǒng)IT行業(yè)中的人進(jìn)行過(guò)交流，我把他們叫做“抱臂幫（folded arms gang）”。這些人都是IT執(zhí)行人員，需要處理云計(jì)算的使用問(wèn)題，而且典型的是因?yàn)镃EO或者他們的董事會(huì)成員要求這樣做，但是還感覺(jué)云計(jì)算還有太多毛病。他們想了解云計(jì)算，但是對(duì)于使用卻并沒(méi)有信心。

 

好消息在于“抱臂幫”的成員人數(shù)隨著云計(jì)算不斷證明其價(jià)值正在減少。然而，云端圍繞安全和隱私問(wèn)題的爭(zhēng)論還是時(shí)常發(fā)生。雖然有一定的情感因素，有時(shí)候是政治因素在作祟，但是你必須在企業(yè)中圍繞實(shí)際的問(wèn)題和真正的風(fēng)險(xiǎn)教育這群人。實(shí)際上，我已經(jīng)發(fā)現(xiàn)通常而言，云要比傳統(tǒng)系統(tǒng)更加安全。

 

根據(jù)Alert Logic2012年秋季的云安全現(xiàn)狀報(bào)告，威脅活動(dòng)的變化在本地基礎(chǔ)架構(gòu)上并沒(méi)有那么重要，任何可以從外部實(shí)現(xiàn)的訪問(wèn)——無(wú)論企業(yè)端還是云端——被攻擊的機(jī)會(huì)是均等的，因?yàn)楣舯举|(zhì)上就是投機(jī)。

 

這份報(bào)告進(jìn)一步指出了基于Web應(yīng)用的攻擊同時(shí)攻擊服務(wù)提供商環(huán)境（53%）和本地環(huán)境（44%）。然而，本地環(huán)境用戶(hù)或者客戶(hù)實(shí)際上比那些服務(wù)提供商環(huán)境中的用戶(hù)或者客戶(hù)遭遇了更多攻擊。本地環(huán)境用戶(hù)平均攻擊為61.4起，而服務(wù)提供商環(huán)境客戶(hù)平均攻擊為27.8起。相比較而言，本地環(huán)境用戶(hù)也遭受了更為顯著的蠻力攻擊。

 

無(wú)疑，存在一種迷思，即云計(jì)算內(nèi)在的就比傳統(tǒng)方法缺少安全。那些偏執(zhí)分子認(rèn)為這種方法本身就是不安全的，因?yàn)橐獙⒛愕臄?shù)據(jù)存放在非自己且無(wú)法控制的服務(wù)器和系統(tǒng)上。

 

然而，控制并不意味著安全。正如我們?cè)谶@份報(bào)告中看到的，在最近今年的攻擊發(fā)生率上看，比數(shù)據(jù)的物理位置更重要的是訪問(wèn)方式。這是基于云的系統(tǒng)和傳統(tǒng)企業(yè)計(jì)算同時(shí)面臨的情況。此外，那些為企業(yè)構(gòu)建了基于云的平臺(tái)的人通常比那些在防火墻內(nèi)構(gòu)件系統(tǒng)的人更加關(guān)注安全和治理。

 

沒(méi)有按照相同的嚴(yán)格的安全標(biāo)準(zhǔn)而構(gòu)造的系統(tǒng)并不意味著安全，不管是否在云端都是如此。因此，最佳的實(shí)踐就是關(guān)注定義良好且可執(zhí)行的安全策略，采用正確可行的技術(shù)。而不是關(guān)注平臺(tái)的區(qū)別。

 

我給出的建議包括三個(gè)步驟：

 

1.針對(duì)具體的系統(tǒng)和/或數(shù)據(jù)存儲(chǔ)，理解安全和治理需求。很多圍繞云或者傳統(tǒng)系統(tǒng)部署安全的人并不理解他們?cè)谠噲D解決什么問(wèn)題。你需要提前定義這些內(nèi)容。

 

2.要理解控制訪問(wèn)的重要性遠(yuǎn)大于數(shù)據(jù)存儲(chǔ)位置。關(guān)注數(shù)據(jù)如何訪問(wèn)，尤其要關(guān)注數(shù)據(jù)外泄了怎么做。再次重申，大多數(shù)數(shù)據(jù)外泄都是弱點(diǎn)所在，不管是否在云端。

 

3.最后，脆弱性測(cè)試完全有必要，不管你是測(cè)試基于云的安全還是傳統(tǒng)系統(tǒng)的安全。未測(cè)試的系統(tǒng)就是不安全的系統(tǒng)。

 

我懷疑我們圍繞安全想的都不一樣，而且我們部署的云更多的是基于公有云的系統(tǒng)和數(shù)據(jù)存儲(chǔ)，而且這種現(xiàn)象還會(huì)持續(xù)下去。然而，沒(méi)有正確的計(jì)劃和良好的技術(shù)，基于云的平臺(tái)會(huì)更加有風(fēng)險(xiǎn)。同樣的事情也會(huì)發(fā)生在現(xiàn)有的系統(tǒng)上。天下并沒(méi)有免費(fèi)的午餐不是嗎？