據(jù)國外媒體報道, 有調(diào)查顯示企業(yè)拒絕 向云端遷移的頭號原因是出于對隱私和安全問題的擔心。當然過去一年的云端數(shù)據(jù)泄露事件,也為人們的擔心增添了佐證。
但是云計算真的比傳統(tǒng)數(shù)據(jù)中心更不安全嗎?答案是否定的。事實是,所有的數(shù)據(jù)泄露事件都與云計算本身沒有關系。就算是著名的iCloud明星艷照泄露事件,也是因為黑客有針對性的對某些具體的用戶進行了入侵,通過其他服務獲得了他們的用戶名和密碼,而iCloud服務本身并沒有遭到黑客攻擊。
那么云端是不是會比傳統(tǒng)的數(shù)據(jù)中心更安全呢?這是非常有可能的。由于云計算是近年來才興起的數(shù)據(jù)中心模式,大多數(shù)主要的云供應商都把安全標準定的很高,需要通過ISO 27001、SSAE-16、PCI、HIPAA、FedRAMP等安全認證標準。要通過此類安全標準云服務供應商必須證明其安全策略達到或超過了這些協(xié)議所述的控制和策略標準。
而傳統(tǒng)數(shù)據(jù)中心呢,可以調(diào)查一下有多少可以通過上述的安全標準,你會發(fā)現(xiàn)并不多。如果云服務提供商能滿足更多和更嚴格的安全標準,那么安全性就不再是放棄云端的借口?
許多害怕向云端遷移的企業(yè)實際上混淆了掌控性和安全性的定義。他們似乎覺得本地系統(tǒng)的物理可見性以及可掌控性要比云計算有更好的安全性,即使云計算公司在安全問題上更加專業(yè)。
但是,數(shù)據(jù)的存儲位置并不等同于安全性。對數(shù)據(jù)本身訪問性的控制要比數(shù)據(jù)的存儲位置更重要。并且,雖然所有的數(shù)據(jù)中心管理員都希望自己的系統(tǒng)有最好的安全性,但是本地系統(tǒng)由于預算或資源的限制,無法提供云計算提供商所能提供的保護和監(jiān)視手段。
另外,雖然安全性非常重要,事實上大部分企業(yè)直到他們發(fā)現(xiàn)被攻擊后才會采取真正有效的安全措施。通常情況下,他們不會把足夠的資金和資源放在安全防護上。這些安全性投資通常被認為比安全風險所帶來的損失更高。
但對于云服務供應商,他們的產(chǎn)品是云計算本身。如果云服務提供商出現(xiàn)安全漏洞,他們的核心產(chǎn)品的可信賴度則會遭受巨大打擊。這種信任很難恢復。因此,大多數(shù)情況下,云計算服務提供商會提供足夠的資金和資源來保護 他們的產(chǎn)品。
當然,企業(yè)不應該盲目地認為每一個云計算供應商都對數(shù)據(jù)安全性做足了保障。最重要的是,審核云服務供應商的安全策略,確保它們符合你的安全需求。
同時,不是所有的安全標準都具有通用性。例如,針對IaaS(基礎設施即服務)的PCI安全標準則不適用PaaS(平臺即服務)或SaaS(軟件即服務)的應用。只要確保企業(yè)能認識到安全標準的差異性,并明確界定云服務提供商和企業(yè)間的安全責任。就會發(fā)現(xiàn)云服務提供商對于數(shù)據(jù)的保護至少不會比傳統(tǒng)數(shù)據(jù)中心做的要差。
所以請停止假設云端要比傳統(tǒng)數(shù)據(jù)中心更不安全,云計算時代的到來將不可避免。