隨著云計算逐漸深入企業(yè)縱深的業(yè)務場景,云計算安全也逐漸受到關注。云計算安全融合了并行處理、網(wǎng)格計算、未知病毒行為判斷等新興技術,通過對網(wǎng)絡中軟件行為的異常監(jiān)測獲取互聯(lián)網(wǎng)中木馬、惡意程序,傳送到server端進行自動分析和處理,再把病毒和木馬的解決方案分發(fā)到每一個客戶端。從一定程度上來說,云計算安全的核心訴求就是對隱私性、完整性、可用性的保護。
云計算安全性如何保證?CIO需引起重視(圖片來自Yahoo)
對于企業(yè)CIO來說,云安全依然是重大挑戰(zhàn)。賽門鐵克的調(diào)研數(shù)據(jù)顯示,企業(yè)CIO對企業(yè)所采用的云應用數(shù)量并不了解。當被問及這一問題時,大多數(shù)受訪者認為自身企業(yè)所采用的云應用數(shù)量最多為40個,但企業(yè)的實際應用數(shù)量已接近1000個。這種認知上的差距,可能會令員工在未采取足夠政策和流程的情況下使用云端技術,增加使用云端應用程序的風險。賽門鐵克預計,云中的安全風險正在逐漸加大,除非CIO能夠嚴格控制企業(yè)內(nèi)部所使用的云應用,否則未來將面臨嚴重的安全威脅。
之所以企業(yè)CIO對云計算應用數(shù)量的認知出現(xiàn)大幅偏差,原因就在于現(xiàn)在的整個網(wǎng)絡技術沒有邊界。換句話說,如果CIO依然還停留在過去的舊思維中,認為所有的業(yè)務相關訪問都是通過網(wǎng)關出口進行,就會出現(xiàn)錯誤。
工信部印發(fā)的《云計算發(fā)展三年行動計劃(2017-2019年)》中強調(diào),高度重視云計算應用和服務發(fā)展帶來的網(wǎng)絡安全問題與挑戰(zhàn)。這表明,云計算安全防護的管理和標準,以及應急預警等方面的預先防范,正進入全面落實階段。
要想建立“云計算安全”系統(tǒng),并使之正常運行,需要解決四大問題:第一,需要海量的客戶端;第二,需要專業(yè)的反病毒技術和經(jīng)驗;第三,需要大量的資金和技術投入;第四,必須是開放的系統(tǒng),而且需要大量合作伙伴的加入。
有時候,客戶會對云計算安全在網(wǎng)絡方面有所擔憂。有一些反病毒軟件在斷網(wǎng)之后,性能大大下降。而實際應用當中也不乏這樣的情況。由于病毒破壞,網(wǎng)絡環(huán)境等因素,在網(wǎng)絡上一旦出現(xiàn)問題,云技術就反而成了累贅,幫了倒忙。因此,混合云計算技術將公有云與私有云相結(jié)合,既發(fā)揮了公有云用戶量大的優(yōu)勢,又保留了本地的數(shù)據(jù)能力,結(jié)合了傳統(tǒng)與新技術的優(yōu)勢,解決了不少應用問題。
對于企業(yè)來說,企業(yè)提升云計算安全可以在私有云部署、風控評估、網(wǎng)絡安全標準等方面進行補足。這一方面,工信部正在推行公有云定級備案、云網(wǎng)絡安全防護檢查的實施,逐步建立云計算安全評估認證體系。此外,在安全互信的云計算產(chǎn)業(yè)發(fā)展過程中,獨立機構扮演的角色也愈發(fā)重要,只有廠商、云服務商、獨立安全機構三者相互配合,才能構建出更安全的云計算環(huán)境。