公有云安全：落地的第一要务

　　公有云，一个炙手可热的词汇，一个众说纷纭的技术，一个尚未成熟的市场。这三个看似矛盾的现状，源发于Google在技术领域的努力，开始于亚马逊在市场领域的开拓，呈现于各大厂商的角力之中。

　　作为一种通过互联网提供免费或成本低廉的信息服务模式，公有云从一开始就引发各方争论。关于它的每个技术细节、业务运作及市场前景，各方立场的不同，导致各自对它的评判也是“公说公有理，婆说婆有理”，但核心问题，还是围绕着“价格”和“安全”来展开。

　　公有云：价格or安全，谁是第一位?

　　对于一项新兴技术来说，落地始终是实现价值的唯一途径，公有云也不例外。在市场推进的过程中，随着竞争角色的增多，多方之间的博弈也走向深入。在公有云这个领域，愈演愈烈的价格战，其实只是市场竞争的表象。这背后隐藏的业务问题和市场心态，才是应该关注的重点。

　　在中国，公有云服务商之间的价格战正打的如火如荼，亚马逊、谷歌、IBM、阿里等这些云服务巨头的服务正在变得比此前更加活跃，但商家们似乎普遍都没有抓住最核心的问题。

　　对于一种产品或服务，价格只是代表了用户成本的降低，并没有触及用户需求的核心诉求。而安全相较于价格，则更为根本。安全代表了产品内含的未来风险，是公有云服务商进入市场的最大前提。有观点认为，公有云的价格与安全之间两者之间存在相关性，低价往往导致低质，低质必然引发故障频发，故障频发最终会导致安全无着，成为公有云发展的最大问题。

　　对于公有云的客户和用户来说，数据的安全性始终是其心中最重要的衡量标准。以往只存储在自己电脑里、看得见摸得着的东西，现在通过公有的方式，在云端实现操作，谁都会考虑是否安全这个问题。在没有云的时代，PC的数据安全问题导致的隐私外泄、财产损失事件已经屡见不鲜，各种“门”事件让你我心中留下了伤痕，成为抹不去的刻板记忆。

　　在公有云服务出现后，市场接受度并不高、行业长远发展也遇到阻碍，企业客户或者终端用户们最担心的是，云服务商不断地、“无节操”地降低价格，是否同时也保障了安全风控?如果没有，这会否埋下一个“定时炸弹”?可见，即便在技术进化到云计算时代，安全问题依旧没有得到完全的、通行的、标准化的解决，“安全”已成为公有云至今未得到市场普遍认可的首要阻碍。

　　公有云安全：是不是问题?

　　谈到公有云的安全，支持的一方往往出于为产品宣传做铺垫，从技术实力对比出发，得出公有云其实更安全的结论，这其中的代表包括提供公有云服务的企业、力推公有云发展的行业部门等。

　　他们普遍表示，公有云往往由具备技术实力的大企业提供服务，他们提供了可靠、安全的数据中心，个人在安全方面的技术水平无法与其相比，就如同你将钱存在银行其实比放在自己口袋里更安全一样，让更专业的人来帮你实现数据存储或处理，将会具有更高安全系数。谷歌公有云项目GAE方面负责人Eran Feigenbaum就曾经表示，“公有云现在已经足够安全让企业可以用它来保存数据，而不会感到他们承担了某些风险。”

　　对此，反对的一方并不认同。他们出于对使用方式的担忧，以业务情景出发，得出公有云的安全性还有待加强的结论，这方面的代表主要有个人终端用户、使用公有云服务的企业、部分行业专家等。

　　反对方的观点是，公有云目前仍然没有通行标准，各行其是的情况普遍存在，很多安全漏洞没有引起行业层面的重视，数据盗用风险仍较大，用户或企业不可能将大量数据放到公有云当中。

　　比较以上两种主流观点，可以发现，公有云在整个市场层面的接受度仍然有待商榷。这一情况产生的原因主要还是聚焦在安全上，要搬开这个拦路石，需要对公有云安全问题进行清晰梳理。

　　公有云安全的五个问题

　　公有云的安全问题，沿袭了互联网安全的基因，又带有业务层面的个性特征。目前，主要集中在以下五个方面：

　　——数据问题 通常情况下，数据价值越大、敏感性越强、开放程度越高，对由于公有云的开放程度较高，企业完全迁移公有云的数据价值大，业务层面的数据敏感性强，所以企业客户对安全性和合规性的需求比较高。

　　但从现有技术水平来看，目前并没有充分的方式来保证数据的安全，尽管亚马逊、谷歌、微软、华为、阿里等国内外云服务厂商也根据各自的客户需求，进行了一些有针对的探索，但是并未形成统一的数据保护和加密机制。

　　——防护问题 目前，提供云服务的厂商，往往在安全防护方面的没有直接的管控模块，对于可能发生的攻击，部分采取外包的形式交给第三方来提供基础保障，造成云端的防护功能并不完全可控。安全防护工作，并不是一个“非此即彼”的问题，而是一个利益与质量之间的权衡和度量问题。

　　——标准问题 在公有云的各种产品中，并没有一个可以互联互通的一个标准化协议，厂商之间也只是与各自的合作伙伴进行内部开发。一旦出现需求变更、数据迁移、突发事件等状况，用户的业务衔接必将出现断层，引发连锁反应。

　　——透明问题 公有云服务商往往宣称自己的服务如何全面、技术如何先进、流程设计如何科学，但是表面上的言辞并不能解决客户心底的顾虑。由于商业方面的原因，服务商一般会回避自身的短板，如平台迁移、灾备方式、业务连续性等。公有云业务体系的不透明，成为市场进一步发育的障碍。

　　——规则问题 在用户业务、文档、数据生成的过程中，由于行业目前还没有细化相关责任归属的法律文本，只是以出售固定信息产品的形式来确定权责，基于用户具体业务操作过程中的安全责任问题，没有过多阐述，给服务商提供了规避的机会。鉴于此，有人建议称，云提供商应为客户提供某种证书，以证明他们的云已经满足了安全保存数据的法律和规则要求。

　　面对以上问题，在中国公有云市场上，提供云服务的企业们，不论是运营商主导的、互联网巨头打造的、部分原IDC运营商改进的，还是跨国公司由国外引入的，都一直未能得出通用的可落的安全性解决方案。为此，公有云企业客户和终端用户、行业研究专家都曾经为解决这些问题表示过呼吁。

　　值得注意的是，为提升信息技术产品的安全性和可控性。信息安全目前已上升到国家的战略层面，作为互联网的大脑，公有云安全方面的重要性也关乎到国家安全。在这样的大环境下，无论是提升公有云服务安全水平、开展更有保证的落地推广，还是促进行业健康发展方面，都将出现一个难得的跃迁契机。

　　总结

　　展望公有云的未来前景，我们需要有标准规范、需要有准入机制、需要有顶层推动，但所涉及的方面，不能仅是技术上的简单融合，更重要的还有服务质量、市场规则方面的细化。不论如何，安全问题作为公有云市场必须解决的第一要务，需要首先得到关注。