當(dāng)新興科技出現(xiàn)時，總是會有一些炒作，將會出現(xiàn)各種各樣的術(shù)語、誤解和神話。然而經(jīng)驗(yàn)豐富的IT領(lǐng)導(dǎo)者對此有所了解。云計(jì)算在其炒作周期中有一個很好的運(yùn)行過程，IT方面沒有什么重大轉(zhuǎn)變是一個主要原因。

當(dāng)然，云計(jì)算現(xiàn)在已經(jīng)歷了過度炒作期，并且成為市場主流。但這并不意味著云計(jì)算的發(fā)展已經(jīng)成熟，尤其是當(dāng)涉及到公共云安全性時。

現(xiàn)在是重新澄清關(guān)于公共云安全的一些重大誤解的時候了，其中一些涉及私有云或混合云環(huán)境，更不用說IT安全。

一些云計(jì)算安全專家將這些誤區(qū)和神話改寫為所對應(yīng)的現(xiàn)實(shí)。以下是他們的建議：

誤區(qū)1：公共云本質(zhì)上是不安全的

這個是人們需要糾正的一個想法，這是云計(jì)算發(fā)展歷史所經(jīng)歷的一個階段。公共云與傳統(tǒng)數(shù)據(jù)中心有不同的考慮因素嗎?是的。這是否意味著公共云自動降低安全性?并不是。

瞻博網(wǎng)絡(luò)全球安全策略總監(jiān)Laurence Pitt表示：“當(dāng)公共云是新生事物的時候，有人擔(dān)心這項(xiàng)技術(shù)尚未得到證實(shí)的安全性，但事實(shí)已經(jīng)不是如此。云計(jì)算技術(shù)始于20世紀(jì)90年代，這意味著云計(jì)算提供商有著多年的數(shù)據(jù)和應(yīng)用訪問經(jīng)驗(yàn)，可以確保權(quán)利管理、強(qiáng)有力的治理和系統(tǒng)監(jiān)控。”

當(dāng)然，并不是所有的提供商都是一樣的。Pitt指出公共云本身就是一個巨大的安全威脅。

現(xiàn)實(shí)1：公共云安全通常比內(nèi)部部署數(shù)據(jù)中心的安全性更好

事實(shí)上，對于一些企業(yè)來說，利用一些云計(jì)算提供商的規(guī)模和實(shí)力可能實(shí)際上是更加高效的整體安全戰(zhàn)略的一部分，特別是如果企業(yè)受到預(yù)算的限制或者只是像很多IT領(lǐng)導(dǎo)者一樣，很難找到具備相應(yīng)用安全技能的工作人員。

正如Red Hat公司技術(shù)布道者Gordon Haff最近指出的那樣，企業(yè)可能過于擔(dān)心公共云提供商的安全流程。“公共云的本質(zhì)是云計(jì)算提供商使用專業(yè)人員、自動化流程和紀(jì)律來處理安全問題。”他表示。

誤區(qū)2：不了解“公共云”的含義

Sumo Logic公司的首席安全官George Gerchow表示，關(guān)于公共云的誤解的這個話題太廣泛了。“這個問題需要進(jìn)一步細(xì)分，以區(qū)分單一租戶與多租戶，還是公共云托管服務(wù)。”Gerchow說。

事實(shí)上，人們傾向于整合大量的東西，例如從軟件到基礎(chǔ)設(shè)施到開發(fā)平臺，基本上是人們都可以附加的無處不在的“as-a-Service”(即服務(wù))，而這些都包含在一個巨大的“公共云”中。

對于一家公司而言，“公共云”可能意味著跨多個供應(yīng)商的多個基礎(chǔ)設(shè)施與私有云和/或本地部署基礎(chǔ)設(shè)施相集成的環(huán)境，并作為混合云組合的一部分。而對于另一家公司而言，“公共云”可能只是意味著他們使用Google Apps或Office 365.

這導(dǎo)致了公共云安全的泛化，而這往往是偏離目標(biāo)的。

例如，Gerchow在深入研究更加具體的公共云類別時看到了人們一個重要的誤解。他說，“單租戶云部署比多租戶更安全是一個巨大的誤解。”

現(xiàn)實(shí)2：公共云類型及其安全考慮因素可能會有很大差異

Gerchow的觀點(diǎn)非常重要：將公共云安全視為一個同質(zhì)化問題是錯誤的。從安全的角度來看，將所有公共云環(huán)境視為同一個環(huán)境也是錯誤的。作為公共云戰(zhàn)略的一部分，企業(yè)必須區(qū)分特定類型的云環(huán)境，以及在那里處理和存儲的數(shù)據(jù)等因素。而不同的組織對安全性、合規(guī)性、治理、SLA等方面有不同的需求和關(guān)注。因此，企業(yè)需要更加了解這些需求。

此外，如果將“公共云”想象成一些即將被黑客攻破的大型環(huán)境，那么將錯失云計(jì)算所帶來的機(jī)會。而這是一個誤導(dǎo)。

“公共云提供商花費(fèi)過多的資源來確保安全性最初架構(gòu)的核心部分，并保持其網(wǎng)絡(luò)和服務(wù)的穩(wěn)固性。”CYBRIC 公司首席技術(shù)官兼聯(lián)合創(chuàng)始人Mike Kail說。

同樣，IT領(lǐng)導(dǎo)者必須了解他們正在使用的環(huán)境。企業(yè)應(yīng)該深入挖掘自己的公共云提供商的服務(wù)，就像建設(shè)和運(yùn)營自已的數(shù)據(jù)中心一樣努力(而在數(shù)據(jù)中心，企業(yè)如果沒有特別關(guān)注的問題，那么這可能意味著其整個安全配置文件需要審計(jì))。

正如SAS公司的首席信息安全官Brian Wilson所說的那樣，企業(yè)在云計(jì)算安全性(尤其是公共云)方面，需要深入了解其云計(jì)算提供商的能力以及這些能力如何滿足自己的特定需求(可能需要多云策略才能滿足企業(yè)的各種需求)。

誤區(qū)3：云計(jì)算安全太復(fù)雜，無法維護(hù)

這是人們一個長期的誤解：云計(jì)算安全對大多數(shù)組織來說太復(fù)雜，無法有效地掌握。

這個誤解表明，企業(yè)保護(hù)自己的本地網(wǎng)絡(luò)或數(shù)據(jù)中心的過程非常簡單。但是人們也要明白：如果這很容易，為什么每個人都會這樣做?如果IT安全非常容易，為什么它會遭受持續(xù)不斷的漏洞攻擊?

事實(shí)上，人們對于云計(jì)算這個想法接近于對內(nèi)部部署基礎(chǔ)設(shè)施的看法，實(shí)際上可能會讓IT專業(yè)人員陷入不安全的安全感。

“僅僅因?yàn)楣ぷ魅藛T能夠監(jiān)控服務(wù)器和存儲設(shè)備，并不意味著其安全控制措施已經(jīng)到位。”CYBRIC公司的Kail說，“大型違規(guī)行為發(fā)生的原因是缺乏適當(dāng)?shù)谋Ｗo(hù)和安全流程，而不是因?yàn)樗诘牡攸c(diǎn)。”

現(xiàn)實(shí)3：混合云安全需要新的模型和流程

事實(shí)是，當(dāng)企業(yè)將工作負(fù)載轉(zhuǎn)移到公共云時，其原有的做法仍在實(shí)施。如果企業(yè)想要保護(hù)混合云架構(gòu)，或者尋求利用兩個或更多不同平臺的多云戰(zhàn)略，情況會變得更加真實(shí)。

“云計(jì)算安全是一種新的模式，是軟件定義的。不依賴于明確的網(wǎng)絡(luò)邊界。”Kail說，“其實(shí)施或維護(hù)并不復(fù)雜，而是需要一種新的思維方式和文化。”

Kail指出，這種文化是DevOps.希望在安全性方面提供更好的觀點(diǎn)的組織越來越多地接受DevSecOps，它確實(shí)使安全性與軟件的其他主要部分具有相同的地位。

誤區(qū)4：公共云安全是云計(jì)算供應(yīng)商考慮的問題

公共云的一個共同賣點(diǎn)是，它為組織提供了無法實(shí)現(xiàn)的計(jì)算能力、可擴(kuò)展性和靈活性(由于成本、技能集、基礎(chǔ)設(shè)施老化等原因)。

一家小型創(chuàng)業(yè)企業(yè)采用云計(jì)算服務(wù)，可以在一夜之間使用企業(yè)級質(zhì)量的基礎(chǔ)設(shè)施。其理由很簡單：云計(jì)算提供商已經(jīng)為其提供了服務(wù)，初創(chuàng)公司不需要購買服務(wù)器，更不用說構(gòu)建數(shù)據(jù)中心，除非這樣做是其更廣泛的IT戰(zhàn)略的一部分。

然而，這并不能免除其風(fēng)險。因?yàn)樵谠破脚_上運(yùn)行和存儲的仍然是企業(yè)自己的數(shù)據(jù)和應(yīng)用程序。企業(yè)當(dāng)然應(yīng)該選擇根據(jù)自己的需求在安全和相關(guān)領(lǐng)域大量投資的公共云供應(yīng)商。只是不要認(rèn)為自己的工作已經(jīng)完成。

現(xiàn)實(shí)4：公共云安全仍然最終取決于企業(yè)的CIO

Kail表示：“云計(jì)算提供商擁有適合客戶使用的軟件定義結(jié)構(gòu)和API，云計(jì)算安全需要最終成為客戶的責(zé)任。”

這并不意味著企業(yè)的公共云供應(yīng)商不能提供幫助。正如Kail指出的那樣，任何具有實(shí)力的云計(jì)算提供商都在不斷投資于其平臺的安全性，并且他們可以在全球范圍內(nèi)進(jìn)行投資。

企業(yè)可以將過去常常阻礙云采用的巨大安全恐懼轉(zhuǎn)化為重塑云計(jì)算安全的實(shí)踐機(jī)會。

Gerchow特別為公共云安全提出了一些建議。他指出，“公共云環(huán)境中的每件事都應(yīng)該使用密鑰輪換措施進(jìn)行加密。公共云也為使用單點(diǎn)登錄和多因素身份驗(yàn)證打開了大門。”

SAS公司首席信息安全官Brian Wilson提出建議：如果企業(yè)優(yōu)先考慮這些技術(shù)和實(shí)踐，請確保其潛在提供商能夠支持這些要求。例如，不要采用表面上的“加密”，而是真正了解他們?nèi)绾沃С置荑€管理。

如果企業(yè)已經(jīng)認(rèn)清了云計(jì)算安全現(xiàn)實(shí)，那么可以根據(jù)其需求與適合的云計(jì)算提供商開展合作。