云计算的真正安全威胁探讨

公有云让企业IT心神不宁。只为一件事，这是一种颠覆性的技术--将计算资源转化成为一种共享的公共设施。这种技术也导致了IT资产缺乏透明度以及较少的控制性。BYOD导致了对于数据丢失和安全的担忧，也难怪一些云新手突然冲出“蜂巢”。

SearchCloudComputing.com同Jim Reavis进行了对话，他是云安全联盟（CSA）的执行总监，就公有云和私有云实际安全问题以及企业进入云端的常见误解和我们进行了探讨。

安全问题通常是企业为什么小心云计算列表的首要问题。那么，什么是公有云和私有云的实际安全风险呢？

Jim Reavis:任何时候，我们进入一个新的技术平台，关于改变的后果会有很多问题。谈到公有云，就是一种计算资源转化成为这种可共享的公共设施的重大改变。这种技术中也缺少来自客户观点（业务人员和企业）对于IT资产的透明度，而且不再能够控制IT资产。没有透明度导致了一些未知的问题。就我所看到的，云计算倾向于为中小型企业进行安全升级，因为提供商能够实际的在安全实践中投资。而且小型业务通常进行最小的、过时的以及不适当的动作。这也是为什么小型业务蜂拥走向云。他们意识到这就是对于其统统IT的实际升级。

大型企业如何看待呢？主要的安全问题是什么？

Reavis:对于大型业务来说，安全需求确实是问题--法规遵从问题，在云端有所进步。我们需要在提供商和客户之间有一种中间协议和沟通，从而确保我们可以理解安全需求，而且能够沟通做哪些可以让客户满意。随后，企业逐步形成了一种复杂的、多层防护。让试图使其服务能够广泛复制这些需求的云提供商工作有迹可循。你的业务越大，你的需求就越复杂。而且，在无法完全控制所有资源的情况下，符合所有的这些需求时可能会遇到一些挑战。

这些问题在私有云中还会存在吗？

Reavis:如果你通过完整的定义来规定云计算，而且实际的尝试在相对大范围的环境中提供这种弹性计算，就会有大量相同的问题。例如大型金融机构，有大量国际市场，可能是分析师和交易员，你必须实际的提供这些控制。这并不是像私有云中透明度问题一样大的问题，但是你要尝试隔离开（从大部分环境中隔离开），以便他们不会广泛地访问。私有云变得越大，起开始看起来就越像公有云，因此它们共享了很多相同的问题。

企业IT关于云安全最大的一些误会是什么？

Reavis:企业将会变成一种更加客户化的云，而且会迁移更多的系统。一些云误解是因为严重缺乏教育资源。我曾和一些CIO探讨，他们否认进入云端；而是，他们正在使用一种更为管饭的各种SaaS应用。在如果你同提供商工作在一起，它们能够做什么上也存在一些认知差距，相反则是草率的看看他们的标准SLA.企业并没有意识到他们实际上有很多问题可以问，他们可以同系统集成商或者是合作伙伴一起来加强云服务。从提供商的观点，缺少对于有标准愿景的大型客户的需求的理解。

你有没有发现企业并没有意识到他们有能力成为云提供商的中间商？

Reavis:我认为这是一种不理解合同层上存在余地、灵活性和谈判的可能性的结合。可以从架构层面价加强，企业可以自己连同第三方或者二级市场服务。也缺少对于评估工具的理解，CSA就提供了很多可用的工具。云客户可能会说，没有标准，但是如果提供商遵照具体的目标，你可以询问。我认为人们说没有工具可以用来评估法规遵从，并将其作为不能解决业务需求和云环境的关系的一种辩解。那么战略注定要失败。

CSA最近组成了移动工作组。能介绍一下BYOD和云还有哪些额外的安全问题吗？

Reavis:将移动和云计算看做相似的消费化结果是有益的。一方面，消费化将其作为产品推销给IT系统，比如云，也导致了更加更加强劲的端点，移动设备。客户可以自己购买。这些事情聚集到一起，创造了影子IT,个人或者业务部门可以获取其自己的后端IT系统。这也导致了很多治理问题。当我们开始移动IT分割，我们会考虑数据治理问题，以及他们如何影响数据在哪里存储。人们会在这些设备上使用应用商店，无论他们是合作的或者是自己带来的，应用商店安全问题也是一个问题。我们不能忽略云愿景中的移动，因为这将是用户访问、利用和同云交互的一种主要的途径。我们要为设备管理或者业务共存以及通用设备个人使用考虑这些问题。

安全即服务是保护BYOD的最佳方式吗？

Reavis:你会看到更多的安全功能转移到云端。企业将会更加关注于下锁设备，并寻求如何加密信息，为认证和禁用设备远程使用。很多迅速移动的威胁可以通过互联网很好的解决。网络提供了更高层级的安全，以及一种更加灵活的方式来支持企业采用新技术。唯一能够使你保持云步伐的方式就是云服务。