云計(jì)算讓企業(yè)IT心神不寧。只為一件事，這是一種顛覆性的技術(shù)——將計(jì)算資源轉(zhuǎn)化成為一種共享的公共設(shè)施。這種技術(shù)也導(dǎo)致了IT資產(chǎn)缺乏透明度以及較少的控制性。BYOD導(dǎo)致了對于數(shù)據(jù)丟失和安全的擔(dān)憂，也難怪一些云新手突然沖出“蜂巢

SearchCloudComputing.com同Jim Reavis進(jìn)行了對話，他是云安全聯(lián)盟（CSA）的執(zhí)行總監(jiān)，就公有云和私有云實(shí)際安全問題以及企業(yè)進(jìn)入云端的常見誤解和我們進(jìn)行了探討。

安全問題通常是企業(yè)為什么小心云計(jì)算列表的首要問題。那么，什么是公有云和私有云的實(shí)際安全風(fēng)險呢？

Jim Reavis：任何時候，我們進(jìn)入一個新的技術(shù)平臺，關(guān)于改變的后果會有很多問題。談到公有云，就是一種計(jì)算資源轉(zhuǎn)化成為這種可共享的公共設(shè)施的重大改變。這種技術(shù)中也缺少來自客戶觀點(diǎn)（業(yè)務(wù)人員和企業(yè)）對于IT資產(chǎn)的透明度，而且不再能夠控制IT資產(chǎn)。沒有透明度導(dǎo)致了一些未知的問題。就我所看到的，云計(jì)算傾向于為中小型企業(yè)進(jìn)行安全升級，因?yàn)樘峁┥棠軌驅(qū)嶋H的在安全實(shí)踐中投資。而且小型業(yè)務(wù)通常進(jìn)行最小的、過時的以及不適當(dāng)?shù)膭幼鳌＿@也是為什么小型業(yè)務(wù)蜂擁走向云。他們意識到這就是對于其統(tǒng)統(tǒng)IT的實(shí)際升級。

大型企業(yè)如何看待呢？主要的安全問題是什么？

Reavis：對于大型業(yè)務(wù)來說，安全需求確實(shí)是問題——法規(guī)遵從問題，在云端有所進(jìn)步。我們需要在提供商和客戶之間有一種中間協(xié)議和溝通，從而確保我們可以理解安全需求，而且能夠溝通做哪些可以讓客戶滿意。隨后，企業(yè)逐步形成了一種復(fù)雜的、多層防護(hù)。讓試圖使其服務(wù)能夠廣泛復(fù)制這些需求的云提供商工作有跡可循。你的業(yè)務(wù)越大，你的需求就越復(fù)雜。而且，在無法完全控制所有資源的情況下，符合所有的這些需求時可能會遇到一些挑戰(zhàn)。

這些問題在私有云中還會存在嗎？

Reavis：如果你通過完整的定義來規(guī)定云計(jì)算，而且實(shí)際的嘗試在相對大范圍的環(huán)境中提供這種彈性計(jì)算，就會有大量相同的問題。例如大型金融機(jī)構(gòu)，有大量國際市場，可能是分析師和交易員，你必須實(shí)際的提供這些控制。這并不是像私有云中透明度問題一樣大的問題，但是你要嘗試隔離開（從大部分環(huán)境中隔離開），以便他們不會廣泛地訪問。私有云變得越大，起開始看起來就越像公有云，因此它們共享了很多相同的問題。

企業(yè)IT關(guān)于云安全最大的一些誤會是什么？

Reavis：企業(yè)將會變成一種更加客戶化的云，而且會遷移更多的系統(tǒng)。一些云誤解是因?yàn)閲?yán)重缺乏教育資源。我曾和一些CIO探討，他們否認(rèn)進(jìn)入云端；而是，他們正在使用一種更為管飯的各種SaaS應(yīng)用。在如果你同提供商工作在一起，它們能夠做什么上也存在一些認(rèn)知差距，相反則是草率的看看他們的標(biāo)準(zhǔn)SLA.企業(yè)并沒有意識到他們實(shí)際上有很多問題可以問，他們可以同系統(tǒng)集成商或者是合作伙伴一起來加強(qiáng)云服務(wù)。從提供商的觀點(diǎn)，缺少對于有標(biāo)準(zhǔn)愿景的大型客戶的需求的理解。

你有沒有發(fā)現(xiàn)企業(yè)并沒有意識到他們有能力成為云提供商的中間商？

Reavis：我認(rèn)為這是一種不理解合同層上存在余地、靈活性和談判的可能性的結(jié)合�？梢詮募軜�(gòu)層面價加強(qiáng)，企業(yè)可以自己連同第三方或者二級市場服務(wù)。也缺少對于評估工具的理解，CSA就提供了很多可用的工具。云客戶可能會說，沒有標(biāo)準(zhǔn)，但是如果提供商遵照具體的目標(biāo)，你可以詢問。我認(rèn)為人們說沒有工具可以用來評估法規(guī)遵從，并將其作為不能解決業(yè)務(wù)需求和云環(huán)境的關(guān)系的一種辯解。那么戰(zhàn)略注定要失敗。

CSA最近組成了移動工作組。能介紹一下BYOD和云還有哪些額外的安全問題嗎？

Reavis：將移動和云計(jì)算看做相似的消費(fèi)化結(jié)果是有益的。一方面，消費(fèi)化將其作為產(chǎn)品推銷給IT系統(tǒng)，比如云，也導(dǎo)致了更加更加強(qiáng)勁的端點(diǎn)，移動設(shè)備。客戶可以自己購買。這些事情聚集到一起，創(chuàng)造了影子IT，個人或者業(yè)務(wù)部門可以獲取其自己的后端IT系統(tǒng)。這也導(dǎo)致了很多治理問題。當(dāng)我們開始移動IT分割，我們會考慮數(shù)據(jù)治理問題，以及他們?nèi)绾斡绊憯?shù)據(jù)在哪里存儲。人們會在這些設(shè)備上使用應(yīng)用商店，無論他們是合作的或者是自己帶來的，應(yīng)用商店安全問題也是一個問題。我們不能忽略云愿景中的移動，因?yàn)檫@將是用戶訪問、利用和同云交互的一種主要的途徑。我們要為設(shè)備管理或者業(yè)務(wù)共存以及通用設(shè)備個人使用考慮這些問題。

安全即服務(wù)是保護(hù)BYOD的最佳方式嗎？

Reavis：你會看到更多的安全功能轉(zhuǎn)移到云端。企業(yè)將會更加關(guān)注于下鎖設(shè)備，并尋求如何加密信息，為認(rèn)證和禁用設(shè)備遠(yuǎn)程使用。很多迅速移動的威脅可以通過互聯(lián)網(wǎng)很好的解決。網(wǎng)絡(luò)提供了更高層級的安全，以及一種更加靈活的方式來支持企業(yè)采用新技術(shù)。唯一能夠使你保持云步伐的方式就是云服務(wù)。