云應用時代的到來

經政府主導和運營商1年左右的基礎架構建設，云服務距離我們已經很近了。從搜索引擎上檢索SaaS OA或SaaS ERP，立刻可以獲得到大量服務供應商信息，一般都提供諸如OA、CRM、HR、DRP等標準應用模板，每月收取很少的費用，從幾百到幾千元不等，有些甚至免費的服務。打開這些服務供應商的主頁可以看到不少用戶案例，其中以中小型企業(yè)、教育分支機構等居多。

安全是一切的前提

“使用IT就像打開龍頭使用自來水一樣方便，又何必自己去建造水廠！”這句話是不少云服務供應商向用戶介紹其服務時的開場白。不過，如果有位用戶剛經歷了在炎熱的夏天突然被告知要斷水，又或者是水廠供應的水質出現了問題，那他對這句話可能就不會這么認同了。

服務水平協(xié)議和安全性同樣是妨礙用戶應用云服務的最主要原因。在IDC的報告中顯示有2/3的用戶將安全問題作為選擇SaaS時的首要考慮因素。對于最有可能應用到云服務的中小企業(yè)而言，服務水平可能尚在其次，畢竟服務的中斷可以通過手動或其它方式來彌補。但安全性方面的威脅是無論如何不能被接受的，畢竟諸如客戶資料，財務信息，抑或研發(fā)源代碼等核心資料的泄漏會給企業(yè)造成無法估量的損失。

潛在的安全風險和對策

客戶端安全：在傳統(tǒng)的客戶端風險威脅防護中，所有的威脅檢測在客戶端內部完成。防護不當的客戶端受到的安全風險較大；而防護較好的客戶端受到的安全風險較小。但在云環(huán)境中，客戶端安全存在著明顯的木桶效應，企業(yè)的整體客戶端安全水平受限于安全防護度最低的那一臺主機，并且由于客戶端之間互為獨立阻隔了威脅檢測結果的共享，可能造成已經檢測出的威脅仍會對企業(yè)造成影響的情況發(fā)生。其實云服務供應商在這一領域可以為企業(yè)提供更多的統(tǒng)一威脅策略管理，由企業(yè)客戶端將所有可疑風險傳遞到云端處理。

傳輸鏈路安全：現在大多數云服務通過VPN進行訪問，以確保企業(yè)數據在傳輸過程中的安全，以及數據的受控存取。但嚴格的身份認證或更高級別的數據傳輸加密方式，如加密機，還少有應用。電子證書安全認證、動態(tài)口令等身份識別機制一方面可以防止非法入侵訪問，對云服務提供商而言，還能夠對實現用戶操作的不可抵賴性，為可能存在的司法風險提供電子證據。

云端安全：數據存儲和容災對于企業(yè)而言是至關重要的一個環(huán)節(jié)。在云環(huán)境下，服務供應商在高度整合的磁盤空間中劃分出一塊塊邏輯空間給到不同用戶。但用戶并不清楚自己的數據存在于何處，在哪些設備上，是否有嚴格的數據隔離措施，同時還存在第三方機構的數據審計和合規(guī)規(guī)范方面的問題。更重要的是，企業(yè)如何確保云服務商不會竊取自己的賴以為繼的數據。目前的云服務供應商大多通過引薦同類客戶、自身各種資質來證明所提供的服務的安全可靠，但仍缺乏技術層面的數據分權掌控機制，將數據的訪問授權通過多方共同控制。

云環(huán)境下的安全控制策略

對于用戶而言，向云環(huán)境遷移是一項復雜的決策過程。需要對現有業(yè)務模型進行梳理，云技術確實能夠大幅縮短IT應用部署時間，但只限于風險可控的業(yè)務模型，其它關鍵業(yè)務仍不妨選擇建立企業(yè)私有云；另一方面需要和云服務供應商確立明確的規(guī)范條款來規(guī)避可能存在的風險，了解云服務供應商是否可以根據自身所需提供上述保證客戶端，傳輸端和云端的安全策略，并且通過SLA來保障服務水平，以及系統(tǒng)宕機后的應用恢復和數據恢復問題。