• 1
  • 2
  • 3
  • 4
  • 5
云服务器安全 首 页  »  帮助中心  »  云服务器  »  云服务器安全
谁来扛起云风险的重担?
发布日期:2016-2-21 13:2:52

  2010年以来,我们听到了太多云计算落地的声音,然而,与此同时,我们也听到了太多次企业信息主管的“一声叹息”。当企业云计算遭遇安全风险,断然是“我自横刀向天笑,去留肝胆两昆仑”。(请参阅51CTO相关专题:押宝云计算,IT人路归何处?)

  事故总是不期而遇

  云计算好似尚未打开的“潘多拉的魔盒”,人们对它充满了好奇和神往。终于有一天,有人打开了这个盒子,盒子里有希望,同时“邪恶”的东西也随之而来。

  下面,让我们来回顾一下,这半年来,云计算是怎样让企业信息主管们“爱之深、恨之切”的。《Slideshare创始人:我们应用云计算的惨痛教训》、《赔偿问题谈崩 礼来或将放弃使用亚马逊云服务》、《云计算供应商常犯的五大严重错误》、 《态度渐冷 美国政府将用10年时间缓慢接受云计算》、《美国政府质疑云计算 计划推行或遭搁浅》、 《云计算警钟再鸣:Intuit不明断电 用户怨声载道》、《云计算,叫我如何信任你?》、《谷歌三遭云计算质疑 App Engine出问题》、《亚马逊故障频发 用户该怎么办?》、《谷歌日历服务再次中断 大多数用户受影响》、《热点讨论:如果你的云服务商倒闭该怎么办?》、《云计算质疑加剧 谷歌日历服务中断》、《云安全,想说爱你不容易》。

  这些事故的出现纵然与云计算所处的阶段有直接的因果关系,毕竟现在的云计算尚处在蹒跚学步的阶段。从长远计,这些却都是亟待解决的问题。云(如阿里云)计算未来的路还很长,内功还需要加倍的修炼,方可对得起受众的希冀。

  不可逃避的灰色地带

  德国科技企业管理学家斯坦门茨20世纪初移居美国,在一家很小的濒临倒闭的小公司任职。这时,美国最大的福特公司的一台电机出了故障,很多人搞了两个多月也没搞好。束手无策的情况下,公司请来了斯坦门茨。斯坦门茨用粉笔在电机外壳上划上一条线,说,“打开电机,在记号处把里面的线圈减少16圈就好。”福特老板问他要多少酬金,斯坦门茨说“1万美元。”福特老板似乎有“被敲诈”的感觉,斯坦门茨解释“用粉笔画条线1美元,知道在哪划线9999美元。”后话是福特用重金聘用了他。

  知道问题出在哪里,怎么解决,才是解决问题的关键。云计算也面临同样的问题。“云计算最大的安全隐患是安全责任不明确。”Gartner报告显示。

  然而,要想明晰安全责任,就要相应的法律法规做支撑。“目前业界还基本没有相关的法规可以利用。绝大部分涉及数据违规的案例都以庭外调解的方式解决,也许服务商提供了赔偿,但都没有形成判决或判例。”一位法律界的人士说。据Forsheit预测,未来两年内,将会出现一个案例在法官面前,其将对安全事故带来的损失进行明确的概念界定。在此之前,企业还需要在这方面对服务提供商进行推动。

  “关于计算机方面的纠纷其实特别多,云计算方面的在这两年也不少。”王立君律师(此前是一位软件工程师)说,“法律法规的缺失让现在的云计算苦不堪言。” 可喜的是,在一些地方已经要求无论是云计算还是其他服务提供商,都要在合同中规定对个人信息的合理保护措施。

  现实的说,用户也并不是希望在遇到问题时得到一笔补偿,他们无非是希望服务商受到足够的惩罚以警戒自己尽量避免故障的发生。但真要到了立法的层面,还是越明确越好。不仅要明确企业用户和服务提供商各自的权责,而且还有必要明晰数据在国家之间传输的限定。

  云计算这场革命尚未成功,同志还需加倍努力。

  用户与服务商的口水战

  眼下,正所谓是,不与云结缘不痛快。不追赶云计算,就意味着自己被甩出了“潮流前线”,势必有“out”的嫌疑。因此,尽管目前云计算尚存在这样那样的问题,IT主管们甚至有一天会面临因为云计算而被“驱逐出境”的凄凉场面,但其仍然不减对其的热情。

  高调的追赶,低调的实现,用户与服务商之间必然会因为云计算的期望与凄凉衍生争端。

  目前,就国内实际情况来说,一些云计算的应用还多限于承载非关键性、非核心以及非敏感性数据。造成这种情况的原因有两点,一是跟云计算在国内的发展阶段及国内的保守意识有着密切的关系,另外,一旦出现服务故障,没有一个明确的风险损失估量办法和措施,而且究竟是谁的责任也没有一个明确的限定。

  “由于IT服务客户想当然的认为他们的云计算服务提供商(如阿里云)应当承担安全风险责任,这也使得这些客户变得更加易于遭受攻击。”一位IT人士说。要命的是,绝大多数的用户坚定不移的认为:既然我掏钱享有的就是你的服务,一旦发生服务故障,当然就是服务商全权负责。

  然而,几乎所有的大型服务提供商(如阿里云)都对客户说,“我们不对任何因为服务故障导致的商业损失承担责任”,这也就难怪CTO们不愿把公司数据放到云中而导致的财务风险。

  “我理解这种状态,”Burton集团的研究总监Drue Reeves说,“若大型云服务提供商在多租户环境中接受针对每个用户的大量责任,他们所承担的总责任将会超越它本身的价值。”他还解释道,由于上市的服务提供商不得不公告其责任,从而导致了不再有人愿意购买其股份。

  理解归理解。但CTO若事先就明确得知服务提供商不会为故障买单,恐怕会更加打击CTO向云计算迁移的积极性。若没有更多的CTO向云迁移的打算,也就没有足够的压力促使服务商完善其服务品质和链条的动力。

  “责任必须是共同承担的,合同双方都要理性对待”,Reeves说,“若审视一下云计算,它由我们现有的一些技术构建而成。在技术层面,我们需要解决的是一个个的现实问题。但关于服务部分,还有很多未完善,相关责任是其中很主要的一部分。”