首先，我認(rèn)為我需要做一個聲明：我是一個云計(jì)算的懷疑者。

　　我知道，作為一個關(guān)注于虛擬化和數(shù)據(jù)中心管理的IT分析師，如同我的眾多同行一樣，我本應(yīng)該是云計(jì)算的倡導(dǎo)者。

 

　　但是，當(dāng)我試圖尋找其正面信息時（其效益顯得如此特殊，以至于我確實(shí)要相信），與那些在大型企業(yè)中有經(jīng)驗(yàn)的IT專業(yè)人士談?wù)撛朴?jì)算越多，我聽到的它負(fù)面消息越多，他們都在抱怨說云計(jì)算不能適應(yīng)實(shí)際IT工作。在本文中，我將介紹為什么我同意與云計(jì)算唱反調(diào)；特別是當(dāng)涉及到安全性和可靠性時。

 

　　云計(jì)算環(huán)境中的安全問題

 

　　在企業(yè)內(nèi)部和可見系統(tǒng)中，大多數(shù)組織特別關(guān)注IT安全性并為之投入了大量資源。整個的團(tuán)隊(duì)維持著嚴(yán)格細(xì)致的身份識別和訪問控制機(jī)制。產(chǎn)品數(shù)據(jù)不能混雜于測試數(shù)據(jù)，客戶通道不與開發(fā)通道混雜，同時敏感性工作負(fù)荷被分別保存在開放或混雜的應(yīng)用中。需要對安全補(bǔ)丁程序不斷進(jìn)行更新，對配置進(jìn)行監(jiān)控，工作區(qū)實(shí)現(xiàn)零日威脅并不斷更新惡意軟件檢測系統(tǒng)。虛擬映像、硬盤和備份采用加密和密碼保護(hù)程序。

 

　　所有這些活動在平臺、應(yīng)用、發(fā)布級別、版本和其他基礎(chǔ)設(shè)施細(xì)節(jié)都是完全不同的。在這些細(xì)節(jié)都被認(rèn)為無關(guān)緊要的云中，誰將對安全管理的復(fù)雜性負(fù)責(zé)？企業(yè)如何確定云供應(yīng)商——特別是外部供應(yīng)商能堅(jiān)持提供他們所能提供的補(bǔ)丁、更新、工作區(qū)、訪問限制等？誰能夠確定管理員從事的是他們應(yīng)該從事并只能這樣做的工作？假定他們的行為有被記載，誰將對其進(jìn)行維護(hù)和審計(jì)追蹤？

 

　　在云中確?？煽啃?/p>

 

　　當(dāng)談到可靠性，就會出現(xiàn)很多問題，而問題的答案卻很少。舉個例子，如果您在一個信用卡服務(wù)云供應(yīng)商那里有業(yè)務(wù)需求。那么，您將如何確保PCI可靠性？如果您有金融和賬戶信息在云中，您將如何確保審計(jì)和金融信息的控制能夠滿足美國的Sarbanes法案（SOX）第404條、英國的金融工具市場指令（MiFID）、日本的JSOX、或澳大利亞的公司法律經(jīng)濟(jì)改革計(jì)劃（CLERP）？如果您有客戶數(shù)據(jù)在云中，如何確保您自由出版的私有政策和現(xiàn)行法規(guī)信息的可靠性？如果您有任何云存儲資源的一種正式記錄——文件、文檔、電子郵件、即時信息、備忘錄、表格、掃描圖像等在云中，您如何確保保留政策符合聯(lián)邦民事訴訟規(guī)則步驟或國防部5015.2規(guī)定？

 

　　監(jiān)控服務(wù)水平協(xié)議（SLA）和合同

 

　　當(dāng)然，對于比較謹(jǐn)慎的組織而言，他們可以創(chuàng)建一個基于過程和/或合同的控制流程。因云的不透明性，使得您對于提供IT服務(wù)的平臺、系統(tǒng)和技術(shù)是未知的，而這或許就是確保安全和可靠的唯一方法。

 

　　但由誰來監(jiān)查監(jiān)查員？

 

　　在設(shè)置服務(wù)水平協(xié)議和簽訂合同時，誰負(fù)責(zé)監(jiān)督、審計(jì)和執(zhí)行呢？如果違反了安全性或?qū)徲?jì)失效，誰將負(fù)責(zé)衡量和報(bào)告這些行為呢？由于云服務(wù)的消費(fèi)者在云內(nèi)部不具備可視性，那么唯一的選擇就是信任供應(yīng)商。不幸的是，由于沒有機(jī)會獨(dú)立核查，供應(yīng)商也很少或根本不會去承認(rèn)錯誤。從本質(zhì)上來說，我們是在讓狐貍來看守雞舍。
 
　　最根本的沖突：可見度

 

　　在這里，根本的沖突是云計(jì)算否認(rèn)了細(xì)節(jié)可見度；然而，作為IT專業(yè)人員，我們需要將其細(xì)化，以確保安全和可靠性。

 

　　對于眾多的利益相關(guān)者，缺乏可見度是一個不錯的現(xiàn)象，同時也是云計(jì)算真正驅(qū)動因素之一。事實(shí)上，沒有人真的想要對細(xì)節(jié)管理的低層次IT組件負(fù)責(zé)。
 
　　但是，一個安全和可靠的環(huán)境是不會無視這些低層次組件的細(xì)節(jié)可見度的。IT專業(yè)人員必須密切參與功能細(xì)節(jié)的最低層次——并不是因?yàn)樗麄兿?，而是因?yàn)樗麄冃枰?/p>

 

　　有沒有可能搭建一個安全可靠的云？

 

　　當(dāng)然，這并不是說沒有可能的解決方案。從內(nèi)心來說，我希望在未來至少部分地看到信任的關(guān)系、聯(lián)合服務(wù)、可審計(jì)標(biāo)準(zhǔn)、第三方監(jiān)控、偽云和其他解決這些問題的解決方案。而在具體的職能領(lǐng)域，云計(jì)算甚至可以直接實(shí)現(xiàn)安全和可靠性（例如基于云服務(wù)的消息過濾、防火墻、漏洞測試等。）

 

　　不過，最終關(guān)鍵因素可能歸結(jié)為一種表面上的因素：公司是否能接受風(fēng)險？這遠(yuǎn)遠(yuǎn)不同于公司是否理解風(fēng)險。隨著虛擬化的深入，企業(yè)只看到了云計(jì)算的好處，卻忽視了一個個他們將要面臨的風(fēng)險。

 

　　但與此同時，IT專業(yè)人士以及他們所支持的業(yè)務(wù)部門必須對完全的云計(jì)算廣告采取非常謹(jǐn)慎的態(tài)度。至少在目前，當(dāng)談?wù)摯_保安全和可靠性的時候，云計(jì)算和關(guān)鍵IT業(yè)務(wù)之間是根本脫節(jié)的。