當新興科技出現時,總是會有一些炒作,將會出現各種各樣的術語、誤解和神話。然而經驗豐富的IT領導者對此有所了解。云計算在其炒作周期中有一個很好的運行過程,IT方面沒有什么重大轉變是一個主要原因。
當然,云計算現在已經歷了過度炒作期,并且成為市場主流。但這并不意味著云計算的發展已經成熟,尤其是當涉及到公共云安全性時。
現在是重新澄清關于公共云安全的一些重大誤解的時候了,其中一些涉及私有云或混合云環境,更不用說IT安全。
一些云計算安全專家將這些誤區和神話改寫為所對應的現實。以下是他們的建議:
誤區1:公共云本質上是不安全的
這個是人們需要糾正的一個想法,這是云計算發展歷史所經歷的一個階段。公共云與傳統數據中心有不同的考慮因素嗎?是的。這是否意味著公共云自動降低安全性?并不是。
瞻博網絡全球安全策略總監Laurence Pitt表示:“當公共云是新生事物的時候,有人擔心這項技術尚未得到證實的安全性,但事實已經不是如此。云計算技術始于20世紀90年代,這意味著云計算提供商有著多年的數據和應用訪問經驗,可以確保權利管理、強有力的治理和系統監控。”
當然,并不是所有的提供商都是一樣的。Pitt指出公共云本身就是一個巨大的安全威脅。
事實上,對于一些企業來說,利用一些云計算提供商的規模和實力可能實際上是更加高效的整體安全戰略的一部分,特別是如果企業受到預算的限制或者只是像很多IT領導者一樣,很難找到具備相應用安全技能的工作人員。
正如Red Hat公司技術布道者Gordon Haff最近指出的那樣,企業可能過于擔心公共云提供商的安全流程。“公共云的本質是云計算提供商使用專業人員、自動化流程和紀律來處理安全問題。”他表示。
誤區2:不了解“公共云”的含義
Sumo Logic公司的首席安全官George Gerchow表示,關于公共云的誤解的這個話題太廣泛了。“這個問題需要進一步細分,以區分單一租戶與多租戶,還是公共云托管服務。”Gerchow說。
事實上,人們傾向于整合大量的東西,例如從軟件到基礎設施到開發平臺,基本上是人們都可以附加的無處不在的“as-a-Service”(即服務),而這些都包含在一個巨大的“公共云”中。
對于一家公司而言,“公共云”可能意味著跨多個供應商的多個基礎設施與私有云和/或本地部署基礎設施相集成的環境,并作為混合云組合的一部分。而對于另一家公司而言,“公共云”可能只是意味著他們使用Google Apps或Office 365.
這導致了公共云安全的泛化,而這往往是偏離目標的。
例如,云服務器租用,Gerchow在深入研究更加具體的公共云類別時看到了人們一個重要的誤解。他說,“單租戶云部署比多租戶更安全是一個巨大的誤解。”
現實2:公共云類型及其安全考慮因素可能會有很大差異
Gerchow的觀點非常重要:將公共云安全視為一個同質化問題是錯誤的。從安全的角度來看,將所有公共云環境視為同一個環境也是錯誤的。作為公共云戰略的一部分,企業必須區分特定類型的云環境,以及在那里處理和存儲的數據等因素。而不同的組織對安全性、合規性、治理、SLA等方面有不同的需求和關注。因此,企業需要更加了解這些需求。
此外,如果將“公共云”想象成一些即將被黑客攻破的大型環境,那么將錯失云計算所帶來的機會。而這是一個誤導。
“公共云提供商花費過多的資源來確保安全性最初架構的核心部分,并保持其網絡和服務的穩固性。”CYBRIC 公司首席技術官兼聯合創始人Mike Kail說。
同樣,IT領導者必須了解他們正在使用的環境。企業應該深入挖掘自己的公共云提供商的服務,就像建設和運營自已的數據中心一樣努力(而在數據中心,企業如果沒有特別關注的問題,那么這可能意味著其整個安全配置文件需要審計)。
正如SAS公司的首席信息安全官Brian Wilson所說的那樣,企業在云計算安全性(尤其是公共云)方面,需要深入了解其云計算提供商的能力以及這些能力如何滿足自己的特定需求(可能需要多云策略才能滿足企業的各種需求)。
誤區3:云計算安全太復雜,無法維護
這是人們一個長期的誤解:云計算安全對大多數組織來說太復雜,無法有效地掌握。
