企业该如何应对云计算中安全问题

其实就技术而言,云计算中采用的安全技术与其他计算领域中的并没有什么太多完全不同的地方,只不过是在应对互联网这个环境时采用的具体技术和策略不同而已。本文通过对比同为互联网应用的网银应用和更广泛的云计算应用,探讨为何现在用户对采用云计算服务持谨慎态度。之后,通过实际应用案例,给出一种可以借鉴的模式,帮助消除人们对云计算服务安全方面的担心。

任何基于互联网的应用都存在安全问题,比如说我们每个人在日常生活中不可避免要使用到的网银,同样也是云计算的一种应用形式,只是在网银出现并被广泛使用的时候,“云计算”这个概念还没有被炒热到如今这种程度。尽管个人用户和企业用户都对网银的安全性存在某种程度的担心,但是人们的日常生活还是离不开这类应用,还是在积极使用。人们在一定程度上放心地把钱作为一种虚拟的数据在互联网上传来传去。但是当人们谈论“云计算”的时候,就会极度地关心起数据的安全性问题来了。为什么人们对银行提供的网银服务就可以认为其安全性还算可以,而采用同样的互联网安全技术的“云计算”却安抚不了人们对安全的担心呢?

我们就从以下几个方面对网银应用和其他云计算应用做一个比较,来探讨一下其中的原因。

安全技术:目前计算机领域内的安全技术发展很迅猛,不管是基于硬件的还是基于软件的,都已经相当成熟。我们熟悉的与互联网有关的安全技术包括很多,例如,对消息传输时进行加密以及用户认证所用的技术,如使用基于X.509标准的PKI与PMI体系进行数字加密的技术、动态密码技术等;对传输层进行加密的TLS/SSL技术;以及各种防病毒、防钓鱼、防DoS、访问列表控制、防火墙等等防止非法入侵和攻击的安全技术。这些技术不但在网银应用中广泛使用,在企业内部IT架构中的应用也早已相当成熟,当然,在云计算中也会广泛使用到。网银应用的提供商,即银行,可以使用上述成熟的安全技术通过互联网为广大用户提供各种交易服务,而且在很大程度上可以让使用者放心。同样,云计算服务的提供商也可以这样做。

因此,就安全技术的成熟程度而言,我们无需太过担心。只不过在一些极端的云计算环境中会面临新的安全技术的挑战和随之带来的技术进步,如基于虚拟技术的超大规模计算时,由于计算节点是动态的(这与目前大多数网银应用中所使用的固定服务器模式会有区别),这样在节点切换时可能会面临很多的安全挑战。但这并不应成为阻挡有实力的厂商提供云计算服务的借口,也不应成为阻挡人们使用云计算服务的借口。因为就云计算服务提供商而言,不一定非要采用基于虚拟技术的动态计算节点来满足大规模计算的要求,尽管它是比较理想和经济的方式。传统的固定服务器模式既可以满足大规模计算的要求,也能应用现有成熟的安全技术,所以说,如果有很好的应用,又能满足大规模计算和安全的要求,为什么不采用传统的服务器部署方式尽快推向云端,方便更多的用户群购买和使用,并为自己带来更快和更多的收益呢?就云计算服务的用户而言,只要能满足自己的性能和安全需求,根本就不用操心云计算服务提供商采用的是何种部署方式。试问一下,有谁在决定采用网银应用之前还要去银行询问其采用的服务器部署方式和安全技术细节的?

安全监管制度:人们在使用网银应用的时候,鲜有询问或因为质疑某一方面的安全细节而放弃使用的,因为人们从内心里相信银行会提供足够强健的安全措施,包括技术上以及监管制度上。人们相信在银行内部,不同授权的人可以访问到的信息是严格限制的,而且有相对完善的管理、留痕和审计制度,以及法律法规来保障这一点,越雷池一步就要付出很高昂的经济和法律代价。但是,当人们面对互联网上各种各样的云计算服务时,就会很在意安全问题,因为到目前为止,还没有专门的监管单位对云计算提供商进行安全方面的监管,也没有任何法律法规要求云计算服务提供商要采用何种程度的人员操作管理、留痕和审计制度。所以当人们在考虑是否采用云计算服务时会格外关注数据安全问题,尤其对于企业用户而言就会更加谨慎了。

数据存放地:人们在使用网银应用的时候,最关键的数据就是自己账户上的资金,用户很清楚自己的数据是存放在银行控制的数据中心里,符合本地法律对隐私和安全的要求和监管,不会无缘无故被取消、丢失、或挪作他用。而云端的环境就完全不一样了,由于互联网上没有国界的限制,所以数据有可能存放在世界各地任何角落的数据中心里(即使云计算服务提供商是本国企业,其使用的数据中心也有可能在国外),不受本国法律法规的管辖,存放在他国的数据很有可能随时被他国机构占有。或者在发生事故之后,遭受损失的用户无法通过本国的法律手段获得相应的赔偿或追讨。对于企业用户的生产数据来说,在战略上这是无法接受的。

服务提供商的存续问题:网银应用的提供商基本都是银行,而在国内,银行的存续期是不会被大家所担心的,因此也不太会担心自己通过网银存放在银行中的钱。而云计算服务的提供商则是千差万别,什么性质、什么规模的都有,如果遇到服务商倒闭,那么用户存放在服务商那里的数据如何处理将会成为很棘手的问题。如2009年发生的账客网倒闭造成20万注册用户的账务数据无法访问的严重问题。因此,能否找到一家如国内银行般具有长久存续能力的云计算服务商也成为云计算用户需要好好考虑的问题。为了避免由于服务供应商存续能力不足带给数据的威胁,数据迁移就成为一个很好的避险措施。

数据迁移:网银应用中的最关键数据就是用户账户中的资金。尽管其他信息,如用户的姓名、联系方式等无法在不同银行的网银应用中传递,但是资金数据是可以互相传递的。这是因为,各个银行间进行网络资金划转的时候,都会遵循一定的标准。其实只要是计算机应用,就会存在数据迁移的问题。数据标准化是解决此类问题的关键,没有标准化数据的应用至少要提供数据转换机制,只有这样才能让数据在同类应用之间进行迁移。目前的云计算应用种类很多,如CRM、财务管理等,同一类的应用也有许多种,但是很少有像网银应用中资金数据那样的标准化。这就造成数据从一个云计算应用转移到另一个同类云计算应用时的困难。加之云计算应用与传统应用不同,传统应用的厂商倒闭后,应用依然可以运行,数据仍然保留在用户侧;而云计算应用的厂商要是倒闭了,应用肯定是无法继续运行的,这就要将数据导出给用户或导出到另一个同类应用中,让用户的业务可以继续运营。

那么,云计算服务提供商该如何解决上述问题,让用户放心使用云计算服务呢?

首先,云计算服务提供商最好是本国注册且数据中心、总部或资产在本国的大规模企业,具有长久的存续能力。只有这样,才能保证其能够尊重驻在国法律并受驻在国法律的监管,长久提供稳定、安全、可靠的服务。在发生事故后,由于其总部或资产在驻在国境内,因此赔偿或追讨可以顺利进行。在中国,这样的企业或组织包括大型IT服务商和开发商、电信运营商、银行、保险公司、各个高新技术园区、政府机构等。

其次,云计算服务提供商应该遵循相应应用的开放标准,尽量不采用私有标准。如果没有标准可以遵循,至少要提供数据导入导出框架以及数据转换机制,为数据迁移提供必要的保障和方便。

但是,目前的云计算领域存在这样一种尴尬局面,即能够提供云计算服务的厂商很多都是境外企业,而国内的大型企业或组织能够提供云计算服务的企业很少,要么提供的应用有限,无法满足企业用户的需求。为什么呢?原因就在于国内很多了解用户需求而且想涉足云计算领域的企业没有相应的运营和管理云计算服务的软件平台,而研发这类平台的投入与风险是巨大的。拥有这样平台技术的企业都是自己运营,不对其他有意运营云计算服务的企业转让或售卖运营和管理云计算服务的软件平台,但他们提供的应用又有限。这就在一定程度上阻碍了云计算的推广速度。

有没有云计算服务运营商与云计算软件平台完全分离的案例(即云计算服务运营商不必自己研发云计算运营和管理平台,从专门提供云计算软件平台的厂商处购买平台软件,直接将自身拥有的应用推向云端,租给个人或企业用户使用)呢?有!CORDYS提供的 ECOSystem(EnterpriseCloudOrchestrationSystem,即企业云编排系统)平台以及 CPF(CORDYSProcessFactory,即CORDYS流程工厂)平台就都是独立的专业云运营和管理平台,提供给任何有意涉足云计算运营的企业,在一定程度上降低了涉足云计算领域的门槛,使更多具有一定规模和存续能力的企业能够为广大互联网用户提供丰富的云计算应用,促进了云计算的推广速度。 ECOSystem和CPF本身都提供可靠的安全技术,如基于X.509标准的PKI框架和认证加密、数字证书、SSL/TLS、访问控制列表等,因此,在安全技术上,可以给云计算运营商充分的发挥空间。以下就是应用ECOSystem和CPF的真实案例。

比利时电信(Belgacom)的中小企业用户有着强烈的CRM应用需求,恰巧比利时电信拥有 MicrosoftCRM,所以就利用CORDYS的ECOSystem将其推向云端,租给感兴趣的中小企业用户使用。中东的电信运营商Du和 Etisalat购买CORDYS的CPF平台后,为中东地区的中小企业用户打造各种具有业务流程管理和集成能力的企业应用商城,在短时间内就拥有了运营云计算服务的能力,并为中小企业打造各种企业应用,大大促进了当地的信息化服务水平。

比利时电信、Du、以及Etisalat都是当地很有规模的企业,有非常好的存续能力,在本地拥有数据中心,有严格的人员管理制度和内控制度,受当地法律的监管,因此深受用户信赖。而且,他们对自己区域内中小企业用户的需求颇为了解,能够提供他们急需的服务。但是,他们缺少云计算运营和管理平台。在采用CORDYS云计算平台之后,他们迅速完成向云计算服务提供商的过渡,完全省去了研发云计算平台的高昂时间和资金代价。

从以上实际案例可以看出,通过为本地有实力、被用户信赖的企业提供独立的云计算运营和管理平台,可以尽快帮助人们消除对云计算安全方面的担心,促进当地的云计算发展和推广速度,帮助更多需要信息化应用的企业快速、安全、放心地享受云计算为他们带来的经济效益和方便快捷的使用体验。

更多精彩:微软云计算中文博客

时间: 2024-09-21 13:30:22

企业该如何应对云计算中安全问题的相关文章

刘建华:建多个数据中心应对云计算安全问题

3月1日消息,2012百会云计算大会日前在北京大学百年讲堂举行.数字星空CEO兼百会集团CEO刘建华在接受腾讯科技专访时表示,百会最大的优势在于应用的整合性,并且都是一站式应用.百会办公的用户也正从中小企业向中大型企业的方向发展.同时他还透露,百会将通过建多个数据中心应对云计算的安全问题. 百会最大优势:应用的的整合性和一站式 在谈到百会应用的优势时,刘建华表示,"我们的应用是非常全面的,是一站式."主要体现在百会应用之间的互相嵌入和融合.他将这些应用的整合性比作"情境整合&

互联网企业应对“云计算”慢半拍

中介交易 SEO诊断 淘宝客 云主机 技术大厅 当微软.IBM.谷歌.惠普.亚马逊等国际巨头巨额投资"云计算"时,中国互联网企业何去何从? 腾讯联席CTO熊明华预言,未来5年内,面对带宽.存储.电力.机房等成本的大量增长,中国互联网企业的利润可能会被吃掉,如果不能应对"云计算"的挑战,中国互联网也许会面临"崩溃". 实际上,中国互联网企业也在应对"云计算"方面有着自己的理解,但是和国际巨头相比,它们的理解和应对仍然显得简单而被

云计算中的身份识别和数据保护

RSA,EMC (NYSE:EMC)信息安全事业部日前发布了新一期的RSA ®安全概要,题为<云计算中的身份识别和数据保护:建立可信任环境的最佳实施方案>.此概要为需要应对云计算中的身份认证和数据安全挑战的机构提供了指导和最佳的可行方案.本期的RSA安全概要集合了云计算安全领域的顶级技术专家的意见,以帮助机构了解如何构建与云服务有关的可信任环境,如何防御网络欺诈,如何应对云环境下新的法规遵从的挑战.RSA安全概要的作者为多位来自EMC和VMware的业界最著名的安全和虚拟化专家,包括RSA,

企业如何应对云计算的法律风险

本文讲的是企业如何应对云计算的法律风险,[IT168 资讯]安全.透明度和方便的数据便携性是日益增多的问题.对于企业最终用户来说,云计算的优势已经建立起来了.但是,全球性律师事务所White & Case的一位律师说,企业和服务提供商在考虑应用管理的和虚拟的服务的时候还要慎重考虑. 负责处理与信息技术.品牌和许可证有关的案子的律师Daren Orzechowski说,云计算可能产生安全.合法访问和数据备份等问题.他说,采用云计算马上就会想到两个问题:其他人谁会看到我的数据?如果出现问题,我会有副

Microsoft报告:35%的企业在基础业务应用中使用云计算

根据一份针对亚太地区IT主管的调查,云计算已经被50%的企业所采用,但仅应用于基本业务运营,如电子邮件和网站托管.这与他们声称的80%的受访者在云计算上托管关键业务应用程序自相矛盾.该调查由微软开展,调查的对象是1200名IT决策者. 调查结果令人惊讶,口头承诺使用云计算的IT决策者与在实际使用云计算之间存在差距.只有35%的受访者表示,他们正在向云计算转变以托管关键业务应用程序和开展主流业务运营.这与高达80%的人口头表示愿意采用云计算有巨大的差距.受访者表示抑制云计算的采用的原因是云计算的安

云计算中关键安全问题探讨

问题描述 大家探讨下云计算中需要解决的关键安全问题有哪些 解决方案 解决方案二:机密性.完整性.可用性.访问控制呗解决方案三:我也比较关注这个话题.既然是云计算安全,应该考虑云计算的实际运行环境和常规环境的差异,也就是和常规安全有什么不同.解决方案四:从纵向划分,应该有基础设施安全.数据安全和应用安全.基础设施安全,应该考虑的是虚拟化安全.虚拟网络监控.虚拟网络和物理网络之间的连接安全和常规的网络安全等.数据安全应该考虑数据的加密存储和传输.用户的隐私保护等.应用安全考虑应用本身是否具有漏洞以及

企业如何实现云计算中的负载平衡?

尽管云计算技术得到迅速采用,但在多云.多个数据中心和混合基础设施上可靠地分配工作负载的能力仍然存在着长期的缺陷.其结果是工作负载分布不均,应用程序性能下降,如果在全球范围内更好地管理工作负载,则可以避免这种情况.人们需要的是更好的全局服务器负载均衡(GSLB). 平衡云计算中的负载 由于智能地分配工作负载是至关重要的,因此负载均衡器(也称为应用交付控制器ADC)在数据输入中被广泛部署.它们的功能是将工作负载分配给后端服务器,从而确保最佳地使用总体服务器容量和更好的应用程序性能. 传统的负载平衡器

云计算中的安全管理和企业风险控制

在云计算中,有效地安全管理和企业风险控制是从良好开发的信息安全安全管理过程得到的,是组织的全面企业安全管理要注意的.本文给出了在云计算中有关安全管理.企业风险控制和信息风险管理的意见和建议. 在云计算中,有效地安全管理和企业风险控制是从良好开发的信息安全安全管理过程得到的,是组织的全面企业安全管理要注意的.本文给出了在云计算中有关安全管理.企业风险控制和信息风险管理的意见和建议. 在云计算中,有效地安全管理和企业风险控制是从良好开发的信息安全安全管理过程得到的,是组织的全面企业安全管理要注意的.

企业在云计算中所犯的最糟糕的三个错误

如今,很多企业将其业务部分或全部转移到云端.但不要让一些愚蠢的错误阻碍业务顺利迁移. 人们都会犯错误.但是,有些错误可以避免,有些错误更像自虐.以下是现在企业在云计算中开展业务所犯的最糟糕的三个错误: 第一个最糟糕的错误:将数据保存在本地部署的数据中心,但在云端计算 在帮助客户规划云计算的同时,专家经常听到"我的数据是宝贵的,所以我们不想将我们的数据放在云端.然而,我们可能为计算和数据中心空间付出太多的费用,因此让我们把它放在一些公共云端." 这可不是一个好举动,这有几个原因.首先,企