我同很多傳統(tǒng)IT行業(yè)中的人進行過交流，我把他們叫做“抱臂幫（folded arms gang）”。這些人都是IT執(zhí)行人員，需要處理云計算的使用問題，而且典型的是因為CEO或者他們的董事會成員要求這樣做，但是還感覺云計算還有太多毛病。他們想了解云計算，但是對于使用卻并沒有信心。

 

好消息在于“抱臂幫”的成員人數(shù)隨著云計算不斷證明其價值正在減少。然而，云端圍繞安全和隱私問題的爭論還是時常發(fā)生。雖然有一定的情感因素，有時候是政治因素在作祟，但是你必須在企業(yè)中圍繞實際的問題和真正的風險教育這群人。實際上，我已經(jīng)發(fā)現(xiàn)通常而言，云要比傳統(tǒng)系統(tǒng)更加安全。

 

根據(jù)Alert Logic2012年秋季的云安全現(xiàn)狀報告，威脅活動的變化在本地基礎(chǔ)架構(gòu)上并沒有那么重要，任何可以從外部實現(xiàn)的訪問——無論企業(yè)端還是云端——被攻擊的機會是均等的，因為攻擊本質(zhì)上就是投機。

 

這份報告進一步指出了基于Web應用的攻擊同時攻擊服務提供商環(huán)境（53%）和本地環(huán)境（44%）。然而，本地環(huán)境用戶或者客戶實際上比那些服務提供商環(huán)境中的用戶或者客戶遭遇了更多攻擊。本地環(huán)境用戶平均攻擊為61.4起，而服務提供商環(huán)境客戶平均攻擊為27.8起。相比較而言，本地環(huán)境用戶也遭受了更為顯著的蠻力攻擊。

 

無疑，存在一種迷思，即云計算內(nèi)在的就比傳統(tǒng)方法缺少安全。那些偏執(zhí)分子認為這種方法本身就是不安全的，因為要將你的數(shù)據(jù)存放在非自己且無法控制的服務器和系統(tǒng)上。

 

然而，控制并不意味著安全。正如我們在這份報告中看到的，在最近今年的攻擊發(fā)生率上看，比數(shù)據(jù)的物理位置更重要的是訪問方式。這是基于云的系統(tǒng)和傳統(tǒng)企業(yè)計算同時面臨的情況。此外，那些為企業(yè)構(gòu)建了基于云的平臺的人通常比那些在防火墻內(nèi)構(gòu)件系統(tǒng)的人更加關(guān)注安全和治理。

 

沒有按照相同的嚴格的安全標準而構(gòu)造的系統(tǒng)并不意味著安全，不管是否在云端都是如此。因此，最佳的實踐就是關(guān)注定義良好且可執(zhí)行的安全策略，采用正確可行的技術(shù)。而不是關(guān)注平臺的區(qū)別。

 

我給出的建議包括三個步驟：

 

1.針對具體的系統(tǒng)和/或數(shù)據(jù)存儲，理解安全和治理需求。很多圍繞云或者傳統(tǒng)系統(tǒng)部署安全的人并不理解他們在試圖解決什么問題。你需要提前定義這些內(nèi)容。

 

2.要理解控制訪問的重要性遠大于數(shù)據(jù)存儲位置。關(guān)注數(shù)據(jù)如何訪問，尤其要關(guān)注數(shù)據(jù)外泄了怎么做。再次重申，大多數(shù)數(shù)據(jù)外泄都是弱點所在，不管是否在云端。

 

3.最后，脆弱性測試完全有必要，不管你是測試基于云的安全還是傳統(tǒng)系統(tǒng)的安全。未測試的系統(tǒng)就是不安全的系統(tǒng)。

 

我懷疑我們圍繞安全想的都不一樣，而且我們部署的云更多的是基于公有云的系統(tǒng)和數(shù)據(jù)存儲，而且這種現(xiàn)象還會持續(xù)下去。然而，沒有正確的計劃和良好的技術(shù)，基于云的平臺會更加有風險。同樣的事情也會發(fā)生在現(xiàn)有的系統(tǒng)上。天下并沒有免費的午餐不是嗎？