“云变革” 早期时,在系统管理员眼中,用 “云” 这个比喻来圈定该技术栈是个有趣的选择。大脑意象中,云这种绵软蓬松的形象似乎难以锁定 IT 市场营销人员口中无处不在、永远在线的云服务。但随着越来越多的公司企业开始采纳公有云和私有云解决方案,即便不是这种比喻的支持者,也很容易看出云服务带来的各种好处。
而公有云成本步步紧逼私有云托管服务,供应商纷纷忙于往自身云产品中添加越来越多的功能,也使公有云和私有云之争如今不像以往那么激烈。安全界尤其如此,公有云提供商寻求进一步区别于传统上享有极高灵活性和严密安全性的私有云网络。(当然,这种假设的前提是您准备自己构建该安全栈。)
某种程度上,在安全作为首要考虑的情况下,私有云仍是保持安全控制在内部进行的有力方式。需要往私有云中添加新安全功能时,多数情况下主要挑战存在于你部署该工具集的速度。这就确保了你可以快速而方便地增加你的安全覆盖面。但成本是个问题——在私有云中维持自身基础设施,那么维护自家安全 “花园” 状态的责任就落到了自己身上,全年都得 “剪枝”、“除草” 和看顾整个花园。
公有云则不一样,你可以外包安全目标,把安全责任推出去。惯于评估风险的人可能会对此概念抱有怀疑,看不见的问题自然是比直接掌控下的问题更难管理。如果供应商的安全历史零碎且未经检验,那就尤为令人担忧了。
在公有云安全问题上,需要考虑一些可能会忽略掉的细微差别。中央托管的管理服务意味着可以随处访问,也就凸显出多因子身份验证登录等额外预防措施的重要性。(尽管可能是分布式的,但多数大型云提供商都会拿出单一的 URL 供管理员访问。)而且,全部管理控制指令经由公共互联网传输的风险也得考虑。当然,指令传输几乎可以肯定是在 SSL 上进行,但近年来频频发生的中间人攻击已显示出,即便用了 HTTPS,也存在难以检测的流量窃听或篡改风险(尤其是在你控制之外的网络上)。
所以,做出安全建议时,该如何在二者之间选择呢?可以先问问这几个关键问题:
1. 希望在云端存储的数据是什么类型的?有没有包含信用卡信息、用户记录等需遵从特定法律要求,且可能需要具体安全规定来验证云服务的数据类型?不仅要考虑当前数据,还要考虑未来服务扩展可能会纳入的数据,如果采用私有云和公有云并存的混合环境,还得考虑数据在两个环境中 “泄露” 的风险。
2. 服务提供商切实提供了哪些安全服务?其历史安全响应效果如何?幸运的是,互联网方便了获取关于公司安全行为的第三方洞见,但别忘了检查你潜在供应商的通信过程是什么样的。
3. 自家用于维护该服务的安全技术/工具集的能力和覆盖范围如何?很多情况下,没看到的警报近乎根本没有警报。有时候,选择托管公有云服务可能是充分覆盖公司重要资产的唯一方式。
只要获得了这些问题的答案,就可以更明智地评估最佳云解决方案了。
而且,现在正是以竞争性价格获取上佳服务的好时机。快速发展的云服务市场,为改善公司安全态势和获取云托管解决方案所有好处打开了新大门。仅仅需要确保公司处于云端时对自身云边界有着清醒的认知,保护好自身云边界。