网络/安全/存储产品 |
|
| 按行业筛选 |
|
|
| 按产品筛选 |
|
|
| |
本产品全部新闻
|
|
|
|
缺乏技术标准 云计算还须迈过安全关 |
|
http://cn.newmaker.com
8/5/2008 2:39:00 PM
佳工机电网
|
|
作为能够降低成本、提高IT灵活性的一种方式,云计算概念在近几个月得到了迅猛发展。云计算围绕一种架构而设计,而这种架构实际上就是企业外部的共享资源池。但云计算的应用也伴随着安全风险,包括与法规遵从、可用性和数据完整性有关的风险。
企业应用咨询公司的首席分析师Josh Greenbaum强调,许多公司事先没有认真考虑过这些风险。比方说,部署相应的故障切换技术是保护云计算的一个环节,却常常被忽视。但是公司往往会确保像电力这些传统服务拥有故障切换机制。Greenbaum说:“要是去任何大公司的机房转一转,就会发现都配置了备用电源。它们不单单依赖电网。”他认为,云计算也应当这样。
在某些情况下,目前的云计算还存在比较大的风险。如果公司已决定把一些服务和应用放在云计算环境,就要考察其风险是如何加以管理的。
Gartner公司的副总裁兼研究员David Cearley说,对云计算技术的使用施加限制是个微妙问题,公司必须认真分析,并且对照云计算什么时候、什么场合有效果,评估风险。比方说,为了能成本节省,许多公司交出了对数据的部分控制权。IT部门以及其他高层主管必须确定这种取舍是不是值得。Cearley说,每项资源最终都可以作为云服务——但是在任何一家公司,不是每项资源都可以从云计算环境获取的。
Cearley说:“在企业外部的共享资源池中,用户对于资源在何处运行既无从知晓,也无从控制。所以,要是用户关注数据的位置,云计算要慎重使用。”
云计算安全缺乏标准
Greenbaum强调,现在有一大批标准适用于IT安全与法规遵从,其中包括SAS交互管理(SAS Interaction Management)等服务,这些标准用于管理大部分业务交互关系,而这些交互关系肯定会不断迁移到云计算环境上。
而与此同时,除非出现针对云计算架构的安全模型和标准,否则大部分风险以及出现问题后的责怪会直接落在IT部门的肩上,而不是落在云计算服务提供商的肩上。Greenbaum说:“全世界的Salesforce.com和NetSuite们都没有提供监管体系要求实施的那种治理、风险及法规遵从等机制。”
IBM公司的安全、治理和风险管理部门主管Kristin Lovejoy也认为,最终,云服务的消费者要负责维护数据的保密性、完整性和可用性。
至于在什么情况下决定采用云服务,Lovejoy建议公司不妨遵守“外围与核心”理论。核心商业惯例提供了差异化竞争优势,而外围商业惯例提供了通常是企业内部的业务活动,比如人力资源服务和工资单。核心和外围商业惯例都可以分为关键任务应用和非关键任务应用。Lovejoy说:“即使非关键任务应用离线了,公司也能够生存下去。”
Lovejoy特别指出,一条经验法则是:如果商业惯例是外围的、非关键任务,那么它总是可以放在云计算环境中;如果是外围的、关键任务,你可能应当让它具有云计算功能;然而,如果是核心的、非关键任务,可以考虑把它放在防火墙后面;如果它是核心的、又是关键任务,肯定要把它放在防火墙后面。”
提高安全需要时间
Gartner公司的首席安全分析师John PeSCAtore表示,云计算方案天生就与通常设计可靠安全的办法不合拍。
PeSCAtore最担心的方面是如何迅速更新及改变基于云计算的服务。他提到了微软在精心开展的软件开发生命周期(SDLC)计划。该计划假定关键任务软件会出现这种情况:三五年内软件不会有大的变化。
PeSCAtore说:“在云计算环境中,每过两周就要添加一项新的特性,应用软件一直在变化当中。但安全的软件开发生命周期其初衷并不是这样的。”
更糟糕的是,公司用户可能不能选择自己想使用的旧版本软件。“在云计算环境中,你不得不接受下一个版本的软件,而这可能会使之前集成到旧应用软件或者客户自己通过集成而获得的任何安全机制毫无成效。”
|
对 网络/安全/存储产品 有何见解?请到 网络/安全/存储产品论坛 畅所欲言吧!
|