安全：公有云落地的第一要務(wù)

公有云，一個炙手可熱的詞匯，一個眾說紛紜的技術(shù)，一個尚未成熟的市場。這三個看似矛盾的現(xiàn)狀，源發(fā)于Google在技術(shù)領(lǐng)域的努力，開始于亞馬遜在市場領(lǐng)域的開拓，呈現(xiàn)于各大廠商的角力之中。

作為一種通過互聯(lián)網(wǎng)提供免費(fèi)或成本低廉的信息服務(wù)模式，公有云從一開始就引發(fā)各方爭論。關(guān)于它的每個技術(shù)細(xì)節(jié)、業(yè)務(wù)運(yùn)作及市場前景，各方立場的不同，導(dǎo)致各自對它的評判也是“公說公有理，婆說婆有理”，但核心問題，還是圍繞著“價格”和“安全”來展開。

公有云：價格or安全，誰是第一位？

對于一項(xiàng)新興技術(shù)來說，落地始終是實(shí)現(xiàn)價值的唯一途徑，公有云也不例外。在市場推進(jìn)的過程中，隨著競爭角色的增多，多方之間的博弈也走向深入。在公有云這個領(lǐng)域，愈演愈烈的價格戰(zhàn)，其實(shí)只是市場競爭的表象。這背后隱藏的業(yè)務(wù)問題和市場心態(tài)，才是應(yīng)該關(guān)注的重點(diǎn)。

在中國，公有云服務(wù)商之間的價格戰(zhàn)正打的如火如荼，亞馬遜、谷歌、IBM、阿里等這些云服務(wù)巨頭的服務(wù)正在變得比此前更加活躍，但商家們似乎普遍都沒有抓住最核心的問題。

對于一種產(chǎn)品或服務(wù)，價格只是代表了用戶成本的降低，并沒有觸及用戶需求的核心訴求。而安全相較于價格，則更為根本。安全代表了產(chǎn)品內(nèi)含的未來風(fēng)險，是公有云服務(wù)商進(jìn)入市場的最大前提。有觀點(diǎn)認(rèn)為，公有云的價格與安全之間兩者之間存在相關(guān)性，低價往往導(dǎo)致低質(zhì)，低質(zhì)必然引發(fā)故障頻發(fā)，故障頻發(fā)最終會導(dǎo)致安全無著，成為公有云發(fā)展的最大問題。

對于公有云的客戶和用戶來說，數(shù)據(jù)的安全性始終是其心中最重要的衡量標(biāo)準(zhǔn)。以往只存儲在自己電腦里、看得見摸得著的東西，現(xiàn)在通過公有的方式，在云端實(shí)現(xiàn)操作，誰都會考慮是否安全這個問題。在沒有云的時代，PC的數(shù)據(jù)安全問題導(dǎo)致的隱私外泄、財(cái)產(chǎn)損失事件已經(jīng)屢見不鮮，各種“門”事件讓你我心中留下了傷痕，成為抹不去的刻板記憶。

在公有云服務(wù)出現(xiàn)后，市場接受度并不高、行業(yè)長遠(yuǎn)發(fā)展也遇到阻礙，企業(yè)客戶或者終端用戶們最擔(dān)心的是，云服務(wù)商不斷地、“無節(jié)操”地降低價格，是否同時也保障了安全風(fēng)控？如果沒有，這會否埋下一個“定時炸彈”？可見，即便在技術(shù)進(jìn)化到云計(jì)算時代，安全問題依舊沒有得到完全的、通行的、標(biāo)準(zhǔn)化的解決，“安全”已成為公有云至今未得到市場普遍認(rèn)可的首要阻礙。

公有云安全：是不是問題？

談到公有云的安全，支持的一方往往出于為產(chǎn)品宣傳做鋪墊，從技術(shù)實(shí)力對比出發(fā)，得出公有云其實(shí)更安全的結(jié)論，這其中的代表包括提供公有云服務(wù)的企業(yè)、力推公有云發(fā)展的行業(yè)部門等。

他們普遍表示，公有云往往由具備技術(shù)實(shí)力的大企業(yè)提供服務(wù)，他們提供了可靠、安全的數(shù)據(jù)中心，個人在安全方面的技術(shù)水平無法與其相比，就如同你將錢存在銀行其實(shí)比放在自己口袋里更安全一樣，讓更專業(yè)的人來幫你實(shí)現(xiàn)數(shù)據(jù)存儲或處理，將會具有更高安全系數(shù)。谷歌公有云項(xiàng)目GAE方面負(fù)責(zé)人Eran Feigenbaum就曾經(jīng)表示，“公有云現(xiàn)在已經(jīng)足夠安全讓企業(yè)可以用它來保存數(shù)據(jù)，而不會感到他們承擔(dān)了某些風(fēng)險。”

對此，反對的一方并不認(rèn)同。他們出于對使用方式的擔(dān)憂，以業(yè)務(wù)情景出發(fā)，得出公有云的安全性還有待加強(qiáng)的結(jié)論，這方面的代表主要有個人終端用戶、使用公有云服務(wù)的企業(yè)、部分行業(yè)專家等。

反對方的觀點(diǎn)是，公有云目前仍然沒有通行標(biāo)準(zhǔn)，各行其是的情況普遍存在，很多安全漏洞沒有引起行業(yè)層面的重視，數(shù)據(jù)盜用風(fēng)險仍較大，用戶或企業(yè)不可能將大量數(shù)據(jù)放到公有云當(dāng)中。

比較以上兩種主流觀點(diǎn)，可以發(fā)現(xiàn)，公有云在整個市場層面的接受度仍然有待商榷。這一情況產(chǎn)生的原因主要還是聚焦在安全上，要搬開這個攔路石，需要對公有云安全問題進(jìn)行清晰梳理。

公有云安全的五個問題

公有云的安全問題，沿襲了互聯(lián)網(wǎng)安全的基因，又帶有業(yè)務(wù)層面的個性特征。目前，主要集中在以下五個方面：

——數(shù)據(jù)問題 通常情況下，數(shù)據(jù)價值越大、敏感性越強(qiáng)、開放程度越高，對由于公有云的開放程度較高，企業(yè)完全遷移公有云的數(shù)據(jù)價值大，業(yè)務(wù)層面的數(shù)據(jù)敏感性強(qiáng)，所以企業(yè)客戶對安全性和合規(guī)性的需求比較高。

但從現(xiàn)有技術(shù)水平來看，目前并沒有充分的方式來保證數(shù)據(jù)的安全，盡管亞馬遜、谷歌、微軟、華為、阿里等國內(nèi)外云服務(wù)廠商也根據(jù)各自的客戶需求，進(jìn)行了一些有針對的探索，但是并未形成統(tǒng)一的數(shù)據(jù)保護(hù)和加密機(jī)制。

——防護(hù)問題 目前，提供云服務(wù)的廠商，往往在安全防護(hù)方面的沒有直接的管控模塊，對于可能發(fā)生的攻擊，部分采取外包的形式交給第三方來提供基礎(chǔ)保障，造成云端的防護(hù)功能并不完全可控。安全防護(hù)工作，并不是一個“非此即彼”的問題，而是一個利益與質(zhì)量之間的權(quán)衡和度量問題。

——標(biāo)準(zhǔn)問題 在公有云的各種產(chǎn)品中，并沒有一個可以互聯(lián)互通的一個標(biāo)準(zhǔn)化協(xié)議，廠商之間也只是與各自的合作伙伴進(jìn)行內(nèi)部開發(fā)。一旦出現(xiàn)需求變更、數(shù)據(jù)遷移、突發(fā)事件等狀況，用戶的業(yè)務(wù)銜接必將出現(xiàn)斷層，引發(fā)連鎖反應(yīng)。

——透明問題 公有云服務(wù)商往往宣稱自己的服務(wù)如何全面、技術(shù)如何先進(jìn)、流程設(shè)計(jì)如何科學(xué)，但是表面上的言辭并不能解決客戶心底的顧慮。由于商業(yè)方面的原因，服務(wù)商一般會回避自身的短板，如平臺遷移、災(zāi)備方式、業(yè)務(wù)連續(xù)性等。公有云業(yè)務(wù)體系的不透明，成為市場進(jìn)一步發(fā)育的障礙。

——規(guī)則問題 在用戶業(yè)務(wù)、文檔、數(shù)據(jù)生成的過程中，由于行業(yè)目前還沒有細(xì)化相關(guān)責(zé)任歸屬的法律文本，只是以出售固定信息產(chǎn)品的形式來確定權(quán)責(zé)，基于用戶具體業(yè)務(wù)操作過程中的安全責(zé)任問題，沒有過多闡述，給服務(wù)商提供了規(guī)避的機(jī)會。鑒于此，有人建議稱，云提供商應(yīng)為客戶提供某種證書，以證明他們的云已經(jīng)滿足了安全保存數(shù)據(jù)的法律和規(guī)則要求。

面對以上問題，在中國公有云市場上，提供云服務(wù)的企業(yè)們，不論是運(yùn)營商主導(dǎo)的、互聯(lián)網(wǎng)巨頭打造的、部分原IDC運(yùn)營商改進(jìn)的，還是跨國公司由國外引入的，都一直未能得出通用的可落的安全性解決方案。為此，公有云企業(yè)客戶和終端用戶、行業(yè)研究專家都曾經(jīng)為解決這些問題表示過呼吁。

值得注意的是，為提升信息技術(shù)產(chǎn)品的安全性和可控性。信息安全目前已上升到國家的戰(zhàn)略層面，作為互聯(lián)網(wǎng)的大腦，公有云安全方面的重要性也關(guān)乎到國家安全。在這樣的大環(huán)境下，無論是提升公有云服務(wù)安全水平、開展更有保證的落地推廣，還是促進(jìn)行業(yè)健康發(fā)展方面，都將出現(xiàn)一個難得的躍遷契機(jī)。

總結(jié)

展望公有云的未來前景，我們需要有標(biāo)準(zhǔn)規(guī)范、需要有準(zhǔn)入機(jī)制、需要有頂層推動，但所涉及的方面，不能僅是技術(shù)上的簡單融合，更重要的還有服務(wù)質(zhì)量、市場規(guī)則方面的細(xì)化。不論如何，安全問題作為公有云市場必須解決的第一要務(wù)，需要首先得到關(guān)注。