你完全可以閉上眼睛，假裝云計算并沒有出現(xiàn)在面前——許多CIO就是這么做的，不過我們還得面對這個事實：“云計算與我們同在。每個人很快就會用它。”

至少這是Jim Haskin及其他業(yè)內(nèi)人士的預(yù)言，Jim Haskin是總部設(shè)在圣迭戈的數(shù)據(jù)安全提供商Websense公司的CIO。

這是讓人害怕的想法嗎?對許多CIO來說，確實如此。Kirill Sheynkman是總部設(shè)在舊金山的Elastra公司的CEO，該公司開發(fā)目前與亞馬遜的云計算服務(wù)部署在一起的應(yīng)用軟件。他說：“人們一提到云計算，就感到恐慌。”那么，這種恐慌有根有據(jù)嗎?就因為越過防火墻帶來的那些安全問題?

Sheynkman不以為然。他說：“安全不是什么問題。你覺得貴公司的IT部門比亞馬遜還要了解數(shù)據(jù)安全嗎?”

還是面對現(xiàn)實吧：“云計算環(huán)境中的數(shù)據(jù)安全與遠(yuǎn)程數(shù)據(jù)中心中的數(shù)據(jù)安全沒什么不同，” 芝加哥的IT咨詢公司Compass的高級顧問John Lytle如是說。

在許多情況下，大多數(shù)公司的數(shù)據(jù)“在自己的環(huán)境下比在精心管理的云計算環(huán)境下還要來得岌岌可危，”Cloudworks公司的CEO Mike Eaton說，總部設(shè)在加州千橡市的這家公司提供基于云計算的服務(wù)，主要面向中小企業(yè)。

有能力控制嗎?

幾大云計算服務(wù)商：亞馬遜、谷歌和Sun對確保網(wǎng)上安全非常在行;有鑒于此，有些人擔(dān)心外面的人攻破安全這道墻、對自己的數(shù)據(jù)為所欲為，這確實似乎沒有必要。Sheynkman說：“人們擔(dān)心過頭了。”

Haskin進一步敘述：“云計算環(huán)境中的數(shù)據(jù)安全應(yīng)該不是問題。”我們需要詢問其他問題，以便弄清楚為什么我們害怕云計算、為么CIO這個群體對云計算采取抵制態(tài)度。不過CIO們也許應(yīng)當(dāng)打消這種心態(tài)，因為剩下的時間不多了。

總部設(shè)在加州芒廷維尤的Dreamfactory公司開發(fā)基于云計算的應(yīng)用，這家公司的首席技術(shù)官Bill Appleton敲響了警鐘：“云計算可能會跳過IT部門這個環(huán)節(jié)，直接向最終用戶促銷。它可能完全跳過IT部門的指揮和控制系統(tǒng)。”

而這也許是應(yīng)當(dāng)要擔(dān)心的問題。這是因為，CIO的噩夢主要針對員工未經(jīng)授權(quán)就擅自使用公共云計算資源，他們可能會把公司內(nèi)部的敏感數(shù)據(jù)放在網(wǎng)上的電子表格或者幻燈片里面。

全球IT基礎(chǔ)設(shè)施提供商Terremark Worldwide公司負(fù)責(zé)安全服務(wù)的高級副總裁Christopher Day說：“大多數(shù)CIO主要擔(dān)心員工把不應(yīng)該公之于眾的數(shù)據(jù)放在公共地方。”這種擔(dān)心不無道理。如果董事會發(fā)現(xiàn)自己公司的戰(zhàn)略方案居然放在公共云計算環(huán)境、誰都可以看到，會有怎樣的表態(tài)呢?但Day也表示，CIO們只要采取一種直接的方法，就能排除這個重大的安全隱患。

Day說：“只要把明確的政策落實到位，然后向員工傳達這些政策。”

應(yīng)當(dāng)正視現(xiàn)實，迎面著手解決這個問題。這就是消除這個風(fēng)險的辦法。還要明白上傳敏感數(shù)據(jù)的員工通常出于好意。他們只是在尋找更有效的工作方式。Day補充說，所以也要關(guān)注其他更安全的方式，以便滿足員工的正當(dāng)要求。如果采取了這兩個步驟，貴公司里面云計算導(dǎo)致的影子IT(shadow IT)極可能會銷聲匿跡。
 

#p#

保護登錄安全

云計算方面另一個久久揮之不去的陰影就是，許多提供商的登錄機制太原始、太簡單了。開發(fā)數(shù)據(jù)安全工具的芝加哥Aladdin公司的總經(jīng)理John Gunn斷然預(yù)測：“除非安全得到大幅增強，否則大企業(yè)不會積極采用云計算。”這里擔(dān)心的問題是，如果使用功能基本的登錄機制，傳統(tǒng)的社會工程手法就可以讓黑客明白員工的登錄信息，結(jié)果數(shù)據(jù)泄漏事件難免會隨之而來。

不過Gunn表示，解決辦法很簡單：企業(yè)應(yīng)當(dāng)只允許數(shù)據(jù)遷移到使用雙因子強驗證技術(shù)的云計算環(huán)境。在這種環(huán)境下，黑客恐怕就無法近身。Gunn認(rèn)為，只要采取了這個步驟，大公司反對云計算的阻力基本上就會馬上煙消云散。大多數(shù)主流的云計算服務(wù)提供商在這個問題上躊躇不前，不過Gunn表示，如果有足夠多的用戶呼吁要求采取防范措施，云計算服務(wù)提供商會積極響應(yīng)。

#p#

現(xiàn)在該怎么辦?

跨國安全公司趨勢科技的首席技術(shù)官Raimund Genes說，最后一大問題是，特別是在如今經(jīng)濟不穩(wěn)定的形勢下，云計算服務(wù)提供商有多久的生命力?“你需要至少三年內(nèi)不會破產(chǎn)或失敗的提供商。如果你把自己的IT基礎(chǔ)設(shè)施交給對方，就需要靠得住的服務(wù)服務(wù)器。”如果云計算服務(wù)提供商破產(chǎn)，如何可以訪問你的信息?誰可以訪問?最好選擇一家有雄厚資金、有能力參與長期競爭的云計算服務(wù)提供商，那樣根本用不著為這類問題而操心。

Elastra公司的Sheynkman為仍在為云計算環(huán)境里面的數(shù)據(jù)而苦惱的CIO們提出了最后一條忠告，他提醒我們：“這不是什么極端的問題;沒必要這樣。單單把你覺得沒什么問題的數(shù)據(jù)放在云計算環(huán)境上。大多數(shù)公司似乎正在這么做。我們?nèi)蕴幵谠囼?、摸索的階段。”

在這個初期階段，邁的步子要小些，但應(yīng)當(dāng)開始邁出幾步，這才是積極接受云計算的明智方式。
 

【編輯推薦】

1. 云端對決：私有云公共云誰是最后贏家？
2. 公共云、私有云 一個都不能少
3. 期待+質(zhì)疑 游戲行業(yè)首例公共云落地
4. 如何保障公共云計算彼端的數(shù)據(jù)安全
5. 四個真實案例 讓你0距離觸摸云安全