科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网CIO与应用频道谈谈云服务商玩的那点儿猫腻

谈谈云服务商玩的那点儿猫腻

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

虽然颇有吸引力的云计算听上去可以作为一种很不错的外包选择,但是对企业和政府部门来说,它同时也代表着一种对安全和法律问题的普遍担忧。法律专家们注意到了洛杉矶市和谷歌签订的云服务合同,该市将会在IT服务公司CSC的帮助下迁移到谷歌的e-mail和协作服务上去。

来源:CNW 2010年7月15日

关键字: IT外包 云计算

  • 评论
  • 分享微博
  • 分享邮件

  虽然颇有吸引力的云计算听上去可以作为一种很不错的外包选择,但是对企业和政府部门来说,它同时也代表着一种对安全和法律问题的普遍担忧。云服务商常常会围绕数据中心及其运营过程刻意营造一种神秘气氛,还大言不惭地声称这样做可以提高安全性,哪怕让所有人陷入黑暗中都无所谓。

  数据中心的位置引发的安全担忧

  商业和工业分析家们极其讨厌这种“不许问,不告知“的云计算模式,在这个圈子中,盛行的是保密协议(NDA),任何问题都得不到回答,甚至连云服务商数据中心的位置和运营也好像是国家安全机密似地密不外泄。而公有云提供商们却争辩说,此种对于保密的偏好是云服务模式所必须的。他们还常常举出SAS-70 审计准则作为挡箭牌,以安抚客户们的忧虑。

  “企业存储在谷歌云中的数据是安全的,”谷歌产品营销总监Adam Swidler在近期召开的一次Gartner安全会议上如是说。他还强调说,谷歌的多租户分布式模式必须“跨多个硬盘拼接数据”,所以在这“上百个Linux堆栈”中,就必须“对各个硬盘上所有文件的所有碎片进行快速更新”,他称此过程为“文件的无边界化”。

  Swidler承认,有关数据存放的位置确实得有一定的密级,因为“我们认为暴露数据文件的存放位置可能会引发安全风险。”但是,“谷歌正在尽其可能地进行一些开放性尝试。”

  数据中心的位置问题在云服务合同中是一个重要问题,牵扯到立法和司法两方面的问题。举例来说,在某些数据隐私法律,如欧盟的一些法律中,数据的位置就是不允许公开的。但是客户们往往要关心他们的数据到底存放在了哪个物理位置上,而谷歌“则认为,关心数据在物理上究竟存放在何处的概念多少已经有些过时了,”Swidler说。

  然而,并非所有人都对此表示赞同。

  很多客户就是想知道云服务商的数据中心究竟在哪儿,必能宝下属的OnDemand的部门经理Kurt Jackson说。该部门主要提供SaaS应用,如用于市政、企业和政府客户的地图服务。

  云服务商Terremark很乐意让用户对其数据中心进行现场参观,因为数据中心的物理安全和网络安全对于用户是否决定采用Terremark 的服务甚为重要,Jackson说。“如果数据中心在迈阿密,企业就知道自己的数据是在迈阿密,”他说。“但是有些服务商则没有这么透明。”

  关于云计算究竟应该透明还是神秘的争论正在引发一场文化冲突,冲突的一方是传统的数据处理外包模式,另一方则是新起的云计算使用模式及其观念模式。

  Gartner分析师John Pescatore认为,不太可能简单地弄清楚,谷歌“在上百万个地点处理数据”的技术究竟是更安全还是更不安全,因为没有可对其进行评估的手段。 Pescatore在Gartner的安全会议上做演讲说,任何公有云服务商的SAS-70证书对于一些客户来说可能会认为是合适的,但是别的客户则不会这么看。“从安全等级上看,SAS-70是相当无意义的,但是它能让审计人员相当轻松。”

  “不透明即安全”是一种误导

  云计算还在挑战着传统的审计和安全概念,有必要形成一种新的审计手段。

  “如果你的服务商不能为你提供有关安全流程的信息,以及为达安全目的而必须采取的措施和计划,那么你就不能信任这家服务商,”美国《Network World》专栏作家Andreas Antonopoulos说。

  “不透明即安全“的陈旧理念是企图对所有事情保持沉默和神秘感,以为如此便能最好地保障安全,这显然是一种误导。“这种理念是行不通的。因为总会有人知道你的秘密,”Antonopoulos说。如果有人企图用“不透明即安全”来说服你的企业上钩,那你最好“尽快离他远远的”。

  法律专家们注意到了洛杉矶市和谷歌签订的云服务合同,该市将会在IT服务公司CSC的帮助下迁移到谷歌的e-mail和协作服务上去。

  信息法律集团的首席律师David Navetta最近完成了对洛杉矶市与谷歌和CSC签订的各项合同,这些合同规定了每一方在可能的数据泄漏和危险赔偿方面的责任。

  他注意到,谷歌在合同中把CSC定义为一家“子承包商”,“因此,在破坏保密协议或丢失城市数据方面,CSC有责任为谷歌的行为或失误买单。”但是他认为,“数据丢失”这一术语应在合同中规定得更为清晰才行。

  Navetta称,一般在谈到评估和批准云服务合同的工作时,总会遇上这样的情形,云服务商声称时间紧迫,因而坚持说他们已没有时间讨论合同细节,不希望再做任何改动。

  “服务商的常用措辞一般是:‘我们不可能为了一个客户更改一遍合同。’”Navetta说。他说服务商一般都不希望“让客户看到盖子下面的东西”,会利用所谓保密性“来达成交易,让你失去控制权。”所以毫不奇怪,很多大企业和政府部门期待能从云服务商那里获得这方面更多的让步。

  然而并非所有的组织都会对与云服务商签订的合同感到不快。

  美国麦瑞特医疗设备公司的Web系统经理Lincoln Cannon说,公司已经采取了一系列步骤进入了云计算,主要利用了谷歌Apps和Telania的eLeap销售培训应用,并利用亚马逊的开发工具开发了新的企业网站。

  这些云服务商将法律合同文本的未定稿交予公司法律部门,由该部门进行确认和修改,然后在往返几个来回,知道各方均满意为止,Cannon说。 “公司的法律团队对于谷歌Apps还是相当满意的,”他说。而对云计算的最大担忧则主要来自公司的CIO,因为根据萨班斯-奥克斯利法案,他必须承担数据保护的责任。

  然而,也并非所有的云服务商都会对保密工作这么神神叨叨的。

  云基础设施服务商ReliaCloud在明尼阿波利斯的圣保罗有两个数据中心,有大约100家云客户在使用其新版的基于VMware环境、由Cloud.com设计的管理平台,其CIO Jason Baker称。

  但是,这家主机托管服务商5000多个客户中的大部分仍然在使用更为传统的方法,也就是该服务商必须为每个客户准备专用的机柜和服务器,Baker说。对于这些客户来说,云计算的概念还是非常新奇的,理解起来还有相当的困难。但Baker认为,基于共享租户虚拟机的云服务本身就具备了一些高可用性的安全属性,这些属性是专用服务器无法实现的。

  “云服务更为可靠,”他说。“假如你的应用是在某个物理服务器上运行的,那么客户就有可能会遇到宕机的情况。但是在云中,我们有一个虚拟机池,假如某个物理节点崩溃,我们就会自动启动云中的另一个节点,避免了宕机的风险。”除此之外,他说,未来利用某些API还可允许客户的应用在需要增加计算能力的时候获得所需的计算能力,从而完成运算。

  和某些云服务商不同,Baker会真心诚意地告诉你他们所使用的安全措施,例如部署了思科的ASA防火墙等。

  对于用户们来说,问题在于,公有云服务商走向公开化到底还有多远,惠普的首席安全战略师Chris Whitener说,“用户们必须坚持要求云服务商公开化。”

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章