企業該如何應對雲端計算中安全問題

狼人2007發表於2019-05-14

其實就技術而言,雲端計算中採用的安全技術與其他計算領域中的並沒有什麼太多完全不同的地方,只不過是在應對網際網路這個環境時採用的具體技術和策略不同而已。本文通過對比同為網際網路應用的網銀應用和更廣泛的雲端計算應用,探討為何現在使用者對採用雲端計算服務持謹慎態度。之後,通過實際應用案例,給出一種可以借鑑的模式,幫助消除人們對雲端計算服務安全方面的擔心。

任何基於網際網路的應用都存在安全問題,比如說我們每個人在日常生活中不可避免要使用到的網銀,同樣也是雲端計算的一種應用形式,只是在網銀出現並被廣泛使用的時候,“雲端計算”這個概念還沒有被炒熱到如今這種程度。儘管個人使用者和企業使用者都對網銀的安全性存在某種程度的擔心,但是人們的日常生活還是離不開這類應用,還是在積極使用。人們在一定程度上放心地把錢作為一種虛擬的資料在網際網路上傳來傳去。但是當人們談論“雲端計算”的時候,就會極度地關心起資料的安全性問題來了。為什麼人們對銀行提供的網銀服務就可以認為其安全性還算可以,而採用同樣的網際網路安全技術的“雲端計算”卻安撫不了人們對安全的擔心呢?

我們就從以下幾個方面對網銀應用和其他雲端計算應用做一個比較,來探討一下其中的原因。

安全技術:目前計算機領域內的安全技術發展很迅猛,不管是基於硬體的還是基於軟體的,都已經相當成熟。我們熟悉的與網際網路有關的安全技術包括很多,例如,對訊息傳輸時進行加密以及使用者認證所用的技術,如使用基於X.509標準的PKI與PMI體系進行數字加密的技術、動態密碼技術等;對傳輸層進行加密的TLS/SSL技術;以及各種防病毒、防釣魚、防DoS、訪問列表控制、防火牆等等防止非法入侵和攻擊的安全技術。這些技術不但在網銀應用中廣泛使用,在企業內部IT架構中的應用也早已相當成熟,當然,在雲端計算中也會廣泛使用到。網銀應用的提供商,即銀行,可以使用上述成熟的安全技術通過網際網路為廣大使用者提供各種交易服務,而且在很大程度上可以讓使用者放心。同樣,雲端計算服務的提供商也可以這樣做。

因此,就安全技術的成熟程度而言,我們無需太過擔心。只不過在一些極端的雲端計算環境中會面臨新的安全技術的挑戰和隨之帶來的技術進步,如基於虛擬技術的超大規模計算時,由於計算節點是動態的(這與目前大多數網銀應用中所使用的固定伺服器模式會有區別),這樣在節點切換時可能會面臨很多的安全挑戰。但這並不應成為阻擋有實力的廠商提供雲端計算服務的藉口,也不應成為阻擋人們使用雲端計算服務的藉口。因為就雲端計算服務提供商而言,不一定非要採用基於虛擬技術的動態計算節點來滿足大規模計算的要求,儘管它是比較理想和經濟的方式。傳統的固定伺服器模式既可以滿足大規模計算的要求,也能應用現有成熟的安全技術,所以說,如果有很好的應用,又能滿足大規模計算和安全的要求,為什麼不採用傳統的伺服器部署方式儘快推向雲端,方便更多的使用者群購買和使用,併為自己帶來更快和更多的收益呢?就雲端計算服務的使用者而言,只要能滿足自己的效能和安全需求,根本就不用操心雲端計算服務提供商採用的是何種部署方式。試問一下,有誰在決定採用網銀應用之前還要去銀行詢問其採用的伺服器部署方式和安全技術細節的?

安全監管制度:人們在使用網銀應用的時候,鮮有詢問或因為質疑某一方面的安全細節而放棄使用的,因為人們從內心裡相信銀行會提供足夠強健的安全措施,包括技術上以及監管制度上。人們相信在銀行內部,不同授權的人可以訪問到的資訊是嚴格限制的,而且有相對完善的管理、留痕和審計制度,以及法律法規來保障這一點,越雷池一步就要付出很高昂的經濟和法律代價。但是,當人們面對網際網路上各種各樣的雲端計算服務時,就會很在意安全問題,因為到目前為止,還沒有專門的監管單位對雲端計算提供商進行安全方面的監管,也沒有任何法律法規要求雲端計算服務提供商要採用何種程度的人員操作管理、留痕和審計制度。所以當人們在考慮是否採用雲端計算服務時會格外關注資料安全問題,尤其對於企業使用者而言就會更加謹慎了。

資料存放地:人們在使用網銀應用的時候,最關鍵的資料就是自己賬戶上的資金,使用者很清楚自己的資料是存放在銀行控制的資料中心裡,符合本地法律對隱私和安全的要求和監管,不會無緣無故被取消、丟失、或挪作他用。而云端的環境就完全不一樣了,由於網際網路上沒有國界的限制,所以資料有可能存放在世界各地任何角落的資料中心裡(即使雲端計算服務提供商是本國企業,其使用的資料中心也有可能在國外),不受本國法律法規的管轄,存放在他國的資料很有可能隨時被他國機構佔有。或者在發生事故之後,遭受損失的使用者無法通過本國的法律手段獲得相應的賠償或追討。對於企業使用者的生產資料來說,在戰略上這是無法接受的。

服務提供商的存續問題:網銀應用的提供商基本都是銀行,而在國內,銀行的存續期是不會被大家所擔心的,因此也不太會擔心自己通過網銀存放在銀行中的錢。而云計算服務的提供商則是千差萬別,什麼性質、什麼規模的都有,如果遇到服務商倒閉,那麼使用者存放在服務商那裡的資料如何處理將會成為很棘手的問題。如2009年發生的賬客網倒閉造成20萬註冊使用者的賬務資料無法訪問的嚴重問題。因此,能否找到一家如國內銀行般具有長久存續能力的雲端計算服務商也成為雲端計算使用者需要好好考慮的問題。為了避免由於服務供應商存續能力不足帶給資料的威脅,資料遷移就成為一個很好的避險措施。

資料遷移:網銀應用中的最關鍵資料就是使用者賬戶中的資金。儘管其他資訊,如使用者的姓名、聯絡方式等無法在不同銀行的網銀應用中傳遞,但是資金資料是可以互相傳遞的。這是因為,各個銀行間進行網路資金劃轉的時候,都會遵循一定的標準。其實只要是計算機應用,就會存在資料遷移的問題。資料標準化是解決此類問題的關鍵,沒有標準化資料的應用至少要提供資料轉換機制,只有這樣才能讓資料在同類應用之間進行遷移。目前的雲端計算應用種類很多,如CRM、財務管理等,同一類的應用也有許多種,但是很少有像網銀應用中資金資料那樣的標準化。這就造成資料從一個雲端計算應用轉移到另一個同類雲端計算應用時的困難。加之雲端計算應用與傳統應用不同,傳統應用的廠商倒閉後,應用依然可以執行,資料仍然保留在使用者側;而云計算應用的廠商要是倒閉了,應用肯定是無法繼續執行的,這就要將資料匯出給使用者或匯出到另一個同類應用中,讓使用者的業務可以繼續運營。

那麼,雲端計算服務提供商該如何解決上述問題,讓使用者放心使用雲端計算服務呢?

首先,雲端計算服務提供商最好是本國註冊且資料中心、總部或資產在本國的大規模企業,具有長久的存續能力。只有這樣,才能保證其能夠尊重駐在國法律並受駐在國法律的監管,長久提供穩定、安全、可靠的服務。在發生事故後,由於其總部或資產在駐在國境內,因此賠償或追討可以順利進行。在中國,這樣的企業或組織包括大型IT服務商和開發商、電信運營商、銀行、保險公司、各個高新技術園區、政府機構等。

其次,雲端計算服務提供商應該遵循相應應用的開放標準,儘量不採用私有標準。如果沒有標準可以遵循,至少要提供資料匯入匯出框架以及資料轉換機制,為資料遷移提供必要的保障和方便。

但是,目前的雲端計算領域存在這樣一種尷尬局面,即能夠提供雲端計算服務的廠商很多都是境外企業,而國內的大型企業或組織能夠提供雲端計算服務的企業很少,要麼提供的應用有限,無法滿足企業使用者的需求。為什麼呢?原因就在於國內很多瞭解使用者需求而且想涉足雲端計算領域的企業沒有相應的運營和管理雲端計算服務的軟體平臺,而研發這類平臺的投入與風險是巨大的。擁有這樣平臺技術的企業都是自己運營,不對其他有意運營雲端計算服務的企業轉讓或售賣運營和管理雲端計算服務的軟體平臺,但他們提供的應用又有限。這就在一定程度上阻礙了雲端計算的推廣速度。

有沒有云計算服務運營商與雲端計算軟體平臺完全分離的案例(即雲端計算服務運營商不必自己研發雲端計算運營和管理平臺,從專門提供雲端計算軟體平臺的廠商處購買平臺軟體,直接將自身擁有的應用推向雲端,租給個人或企業使用者使用)呢?有!CORDYS提供的 ECOSystem(EnterpriseCloudOrchestrationSystem,即企業雲編排系統)平臺以及 CPF(CORDYSProcessFactory,即CORDYS流程工廠)平臺就都是獨立的專業雲運營和管理平臺,提供給任何有意涉足雲端計算運營的企業,在一定程度上降低了涉足雲端計算領域的門檻,使更多具有一定規模和存續能力的企業能夠為廣大網際網路使用者提供豐富的雲端計算應用,促進了雲端計算的推廣速度。 ECOSystem和CPF本身都提供可靠的安全技術,如基於X.509標準的PKI框架和認證加密、數字證書、SSL/TLS、訪問控制列表等,因此,在安全技術上,可以給雲端計算運營商充分的發揮空間。以下就是應用ECOSystem和CPF的真實案例。

比利時電信(Belgacom)的中小企業使用者有著強烈的CRM應用需求,恰巧比利時電信擁有 MicrosoftCRM,所以就利用CORDYS的ECOSystem將其推向雲端,租給感興趣的中小企業使用者使用。中東的電信運營商Du和 Etisalat購買CORDYS的CPF平臺後,為中東地區的中小企業使用者打造各種具有業務流程管理和整合能力的企業應用商城,在短時間內就擁有了運營雲端計算服務的能力,併為中小企業打造各種企業應用,大大促進了當地的資訊化服務水平。

比利時電信、Du、以及Etisalat都是當地很有規模的企業,有非常好的存續能力,在本地擁有資料中心,有嚴格的人員管理制度和內控制度,受當地法律的監管,因此深受使用者信賴。而且,他們對自己區域內中小企業使用者的需求頗為了解,能夠提供他們急需的服務。但是,他們缺少雲端計算運營和管理平臺。在採用CORDYS雲端計算平臺之後,他們迅速完成向雲端計算服務提供商的過渡,完全省去了研發雲端計算平臺的高昂時間和資金代價。

從以上實際案例可以看出,通過為本地有實力、被使用者信賴的企業提供獨立的雲端計算運營和管理平臺,可以儘快幫助人們消除對雲端計算安全方面的擔心,促進當地的雲端計算髮展和推廣速度,幫助更多需要資訊化應用的企業快速、安全、放心地享受雲端計算為他們帶來的經濟效益和方便快捷的使用體驗。

更多精彩:微軟雲端計算中文部落格


相關文章