故弄玄虛 摸清云服務(wù)商的那點(diǎn)兒貓膩

2010-07-13 09:50:07

云計(jì)算 雖然頗有吸引力的云計(jì)算聽上去可以作為一種很不錯(cuò)的外包選擇，但是對(duì)企業(yè)和政府部門來說，它同時(shí)也代表著一種對(duì)安全和法律問題的普遍擔(dān)憂。云服務(wù)商常常會(huì)圍繞數(shù)據(jù)中心及其運(yùn)營過程刻意營造一種神秘氣氛，還大言不慚地聲稱這樣做可以提高安全性，哪怕讓所有人陷入黑暗中都無所謂。

成都創(chuàng)新互聯(lián)“設(shè)計(jì)定江山，服務(wù)贏天下“的思想，用細(xì)節(jié)和態(tài)度獲得客戶的認(rèn)可與同行的尊重，服務(wù)是成都創(chuàng)新互聯(lián)企業(yè)文化中重要的核心思想，每一位員工要致力成為客戶心中堅(jiān)實(shí)的服務(wù)后盾。

雖然頗有吸引力的云計(jì)算聽上去可以作為一種很不錯(cuò)的外包選擇，但是對(duì)企業(yè)和政府部門來說，它同時(shí)也代表著一種對(duì)安全和法律問題的普遍擔(dān)憂。云服務(wù)商常常會(huì)圍繞數(shù)據(jù)中心及其運(yùn)營過程刻意營造一種神秘氣氛，還大言不慚地聲稱這樣做可以提高安全性，哪怕讓所有人陷入黑暗中都無所謂。

數(shù)據(jù)中心的位置引發(fā)的安全擔(dān)憂

商業(yè)和工業(yè)分析家們極其討厭這種“不許問，不告知“的云計(jì)算模式，在這個(gè)圈子中，盛行的是保密協(xié)議(NDA)，任何問題都得不到回答，甚至連云服務(wù)商數(shù)據(jù)中心的位置和運(yùn)營也好像是國家安全機(jī)密似地密不外泄。而公有云提供商們卻爭辯說，此種對(duì)于保密的偏好是云服務(wù)模式所必須的。他們還常常舉出SAS-70 審計(jì)準(zhǔn)則作為擋箭牌，以安撫客戶們的憂慮。

“企業(yè)存儲(chǔ)在谷歌云中的數(shù)據(jù)是安全的，”谷歌產(chǎn)品營銷總監(jiān)Adam Swidler在近期召開的一次Gartner安全會(huì)議上如是說。他還強(qiáng)調(diào)說，谷歌的多租戶分布式模式必須“跨多個(gè)硬盤拼接數(shù)據(jù)”，所以在這“上百個(gè)linux堆棧”中，就必須“對(duì)各個(gè)硬盤上所有文件的所有碎片進(jìn)行快速更新”，他稱此過程為“文件的無邊界化”。

Swidler承認(rèn)，有關(guān)數(shù)據(jù)存放的位置確實(shí)得有一定的密級(jí)，因?yàn)椤拔覀冋J(rèn)為暴露數(shù)據(jù)文件的存放位置可能會(huì)引發(fā)安全風(fēng)險(xiǎn)?！钡?，“谷歌正在盡其可能地進(jìn)行一些開放性嘗試。”

數(shù)據(jù)中心的位置問題在云服務(wù)合同中是一個(gè)重要問題，牽扯到立法和司法兩方面的問題。舉例來說，在某些數(shù)據(jù)隱私法律，如歐盟的一些法律中，數(shù)據(jù)的位置就是不允許公開的。但是客戶們往往要關(guān)心他們的數(shù)據(jù)到底存放在了哪個(gè)物理位置上，而谷歌“則認(rèn)為，關(guān)心數(shù)據(jù)在物理上究竟存放在何處的概念多少已經(jīng)有些過時(shí)了，”Swidler說。

然而，并非所有人都對(duì)此表示贊同。

很多客戶就是想知道云服務(wù)商的數(shù)據(jù)中心究竟在哪兒，必能寶下屬的OnDemand的部門經(jīng)理Kurt Jackson說。該部門主要提供SaaS應(yīng)用，如用于市政、企業(yè)和政府客戶的地圖服務(wù)。

云服務(wù)商Terremark很樂意讓用戶對(duì)其數(shù)據(jù)中心進(jìn)行現(xiàn)場參觀，因?yàn)?strong>數(shù)據(jù)中心的物理安全和網(wǎng)絡(luò)安全對(duì)于用戶是否決定采用Terremark 的服務(wù)甚為重要，Jackson說。“如果數(shù)據(jù)中心在邁阿密，企業(yè)就知道自己的數(shù)據(jù)是在邁阿密，”他說?！暗怯行┓?wù)商則沒有這么透明。”

關(guān)于云計(jì)算究竟應(yīng)該透明還是神秘的爭論正在引發(fā)一場文化沖突，沖突的一方是傳統(tǒng)的數(shù)據(jù)處理外包模式，另一方則是新起的云計(jì)算使用模式及其觀念模式。

Gartner分析師John Pescatore認(rèn)為，不太可能簡單地弄清楚，谷歌“在上百萬個(gè)地點(diǎn)處理數(shù)據(jù)”的技術(shù)究竟是更安全還是更不安全，因?yàn)闆]有可對(duì)其進(jìn)行評(píng)估的手段。 Pescatore在Gartner的安全會(huì)議上做演講說，任何公有云服務(wù)商的SAS-70證書對(duì)于一些客戶來說可能會(huì)認(rèn)為是合適的，但是別的客戶則不會(huì)這么看。“從安全等級(jí)上看，SAS-70是相當(dāng)無意義的，但是它能讓審計(jì)人員相當(dāng)輕松?！?/p>

#p#

“不透明即安全”是一種誤導(dǎo)

云計(jì)算還在挑戰(zhàn)著傳統(tǒng)的審計(jì)和安全概念，有必要形成一種新的審計(jì)手段。

“如果你的服務(wù)商不能為你提供有關(guān)安全流程的信息，以及為達(dá)安全目的而必須采取的措施和計(jì)劃，那么你就不能信任這家服務(wù)商，”美國《Network World》專欄作家Andreas Antonopoulos說。

“不透明即安全“的陳舊理念是企圖對(duì)所有事情保持沉默和神秘感，以為如此便能***地保障安全，這顯然是一種誤導(dǎo)?！斑@種理念是行不通的。因?yàn)榭倳?huì)有人知道你的秘密，”Antonopoulos說。如果有人企圖用“不透明即安全”來說服你的企業(yè)上鉤，那你***“盡快離他遠(yuǎn)遠(yuǎn)的”。

法律專家們注意到了洛杉磯市和谷歌簽訂的云服務(wù)合同，該市將會(huì)在IT服務(wù)公司CSC的幫助下遷移到谷歌的e-mail和協(xié)作服務(wù)上去。

信息法律集團(tuán)的***律師David Navetta最近完成了對(duì)洛杉磯市與谷歌和CSC簽訂的各項(xiàng)合同，這些合同規(guī)定了每一方在可能的數(shù)據(jù)泄漏和危險(xiǎn)賠償方面的責(zé)任。

他注意到，谷歌在合同中把CSC定義為一家“子承包商”，“因此，在破壞保密協(xié)議或丟失城市數(shù)據(jù)方面，CSC有責(zé)任為谷歌的行為或失誤買單?！钡撬J(rèn)為，“數(shù)據(jù)丟失”這一術(shù)語應(yīng)在合同中規(guī)定得更為清晰才行。

Navetta稱，一般在談到評(píng)估和批準(zhǔn)云服務(wù)合同的工作時(shí)，總會(huì)遇上這樣的情形，云服務(wù)商聲稱時(shí)間緊迫，因而堅(jiān)持說他們已沒有時(shí)間討論合同細(xì)節(jié)，不希望再做任何改動(dòng)。

“服務(wù)商的常用措辭一般是：‘我們不可能為了一個(gè)客戶更改一遍合同。’”Navetta說。他說服務(wù)商一般都不希望“讓客戶看到蓋子下面的東西”，會(huì)利用所謂保密性“來達(dá)成交易，讓你失去控制權(quán)?！彼院敛黄婀?，很多大企業(yè)和政府部門期待能從云服務(wù)商那里獲得這方面更多的讓步。

然而并非所有的組織都會(huì)對(duì)與云服務(wù)商簽訂的合同感到不快。

美國麥瑞特醫(yī)療設(shè)備公司的web系統(tǒng)經(jīng)理Lincoln Cannon說，公司已經(jīng)采取了一系列步驟進(jìn)入了云計(jì)算，主要利用了谷歌Apps和Telania的eLeap銷售培訓(xùn)應(yīng)用，并利用亞馬遜的開發(fā)工具開發(fā)了新的企業(yè)網(wǎng)站。

這些云服務(wù)商將法律合同文本的未定稿交予公司法律部門，由該部門進(jìn)行確認(rèn)和修改，然后在往返幾個(gè)來回，知道各方均滿意為止，Cannon說。 “公司的法律團(tuán)隊(duì)對(duì)于谷歌Apps還是相當(dāng)滿意的，”他說。而對(duì)云計(jì)算的***擔(dān)憂則主要來自公司的CIO，因?yàn)楦鶕?jù)薩班斯-奧克斯利法案，他必須承擔(dān)數(shù)據(jù)保護(hù)的責(zé)任。

然而，也并非所有的云服務(wù)商都會(huì)對(duì)保密工作這么神神叨叨的。

云基礎(chǔ)設(shè)施服務(wù)商ReliaCloud在明尼阿波利斯的圣保羅有兩個(gè)數(shù)據(jù)中心，有大約100家云客戶在使用其新版的基于VMware環(huán)境、由Cloud.com設(shè)計(jì)的管理平臺(tái)，其CIO Jason Baker稱。

但是，這家主機(jī)托管服務(wù)商5000多個(gè)客戶中的大部分仍然在使用更為傳統(tǒng)的方法，也就是該服務(wù)商必須為每個(gè)客戶準(zhǔn)備專用的機(jī)柜和服務(wù)器，Baker說。對(duì)于這些客戶來說，云計(jì)算的概念還是非常新奇的，理解起來還有相當(dāng)?shù)睦щy。但Baker認(rèn)為，基于共享租戶虛擬機(jī)的云服務(wù)本身就具備了一些高可用性的安全屬性，這些屬性是專用服務(wù)器無法實(shí)現(xiàn)的。

“云服務(wù)更為可靠，”他說。“假如你的應(yīng)用是在某個(gè)物理服務(wù)器上運(yùn)行的，那么客戶就有可能會(huì)遇到宕機(jī)的情況。但是在云中，我們有一個(gè)虛擬機(jī)池，假如某個(gè)物理節(jié)點(diǎn)崩潰，我們就會(huì)自動(dòng)啟動(dòng)云中的另一個(gè)節(jié)點(diǎn)，避免了宕機(jī)的風(fēng)險(xiǎn)?！背酥?，他說，未來利用某些API還可允許客戶的應(yīng)用在需要增加計(jì)算能力的時(shí)候獲得所需的計(jì)算能力，從而完成運(yùn)算。

和某些云服務(wù)商不同，Baker會(huì)真心誠意地告訴你他們所使用的安全措施，例如部署了思科的ASA防火墻等。

對(duì)于用戶們來說，問題在于，公有云服務(wù)商走向公開化到底還有多遠(yuǎn)，惠普的***安全戰(zhàn)略師Chris Whitener說，“用戶們必須堅(jiān)持要求云服務(wù)商公開化?！?br /> 

【編輯推薦】

1. 云計(jì)算安全：讓IT部門失控了
2. 云計(jì)算比你想象的更安全
3. 熱點(diǎn)討論：如果你的云服務(wù)商倒閉該怎么辦？

 

當(dāng)前名稱：故弄玄虛摸清云服務(wù)商的那點(diǎn)兒貓膩
網(wǎng)站地址：http://www.dlmjj.cn/article/dpsgccd.html