避免转向云时易犯的七大类安全错误

　　ZDNET安全频道 北京报道（文/陈广成）：传统IT环境下，每个管理员负责的服务器数量是50个，花费5天的时间调配服务器，服务器利用率是20%。而作为云计算的先行者，这些数字分别是5000个，15分钟和75%。云计算依靠虚拟化实现的灵活性的提升、成本的降低可谓前景光明。

　　用一个词总结过去一年的云计算市场，那就是“认知”。过去一年是各种规模以及各个行业的企业学习云计算理念和技术的一年，有关云技术的各种好处和风险都受到了热烈的关注和讨论。对于任何技术来说，在进化周期中，“认知”的下一步就是“实验”。然而，在云计算“认知”向“实验”的过程中，你真的准备好了吗?

赛门铁克全球云市场营销经理Dave Elliott

　　赛门铁克全球云市场营销经理Dave Elliott在RSA 2012中国大会上指出了企业转向云时易犯的七大安全性错误。他认为，云计算面临的挑战有不当的预期、未做好准备的IT组织、数据访问控制、法规遵从性和影子IT。“无知、抗拒、骄傲、隔离、准备不足、含糊不清、风险”构成了转向云计算进程中的常见错误。

（图）转向云计算进程中常见错误

　　无知：云计算让信息可以自由流向最高效的资源，信息作为企业最重要的资产，不少企业却不知道信息的价值。对于云安全性来说，它始于信息重要性，并且必须与信息重要性相称。Dave建议，首先要识别信息与风险，不要轻易相信供应商。充分利用CSA(云安全联盟)，查看参考标准并执行实施。

　　抗拒：意味着视云计算为竞争对手，强烈排斥而非拥抱云计算。实际上，云可以改变业务运营的游戏规则，你的竞争对手、客户和合作伙伴都在转向云，而安全保护必须从新生事物的“拒绝者”转变为业务促进者。Dave指出，企业需从明确目标和定义云开始，制定章程并任命一名云计算领导人，或者从小规模开始实施云计算项目。

　　骄傲：认为云计算很轻松、甚至不为云计算做任何准备，这显然为在云迁移过程中埋下了隐患。企业要学会充分利用关键合作伙伴，找到现有解决方案果断地制定规划和预算。

　　隔离：认为云计算是一个独立的IT孤岛。其实云是IT实现方式的一种改进，而不是一个全新的事务。多项策略和多个团队会造成混乱、重复劳动和不必要的风险。Dave告诉记者，企业首先要求明确安全责任，利用现有的GRC策略，在常规规划中明确标明云项目的优先级，并在虚拟化和移动性这一背景中考虑云计算。

　　准备不足：在缺少适当技能或规划的情况下转向云计算意味着承担相当大的风险，多数云项目未能实现预期目标，而且一般IT组织都缺少成功实施云计算所需的经验和技能。Dave强调，IT人员中具有云计算经验的不足四分之一，一半的IT人员对云计算“没做什么准备”。所以，在云计算方面投入力量，让你自己和你的组织接受云计算培训，充分借助已取得成功的合作伙伴成为必然。

　　含糊不清：不确定性和含糊不清会提高风险。数据违规的法律代价可能会很高，并且云计算失败的业务代价也可能会很高。Dave给出的建议是，明确责任，建立并执行服务级别协议和事件响应方案，强化报告制度，将云计算纳入常规规划。

　　风险：未能跨多个云制定策略以及评估风险和合规性。要意识到你的组织将使用多个云而不是一个云，在你的信息进入云环境后，风险特征将发生变化。Dave指出，除了使用现有GRC战略协调云策略并减轻风险外，要利用云供应商提供的安全功能，如安全组合可用性分区。了解您的数据，并为你的业务做出明智决策。

　　很多人对到底是云服务供应商还是企业IT部门该承担安全的责任，Dave强调，首先要跟云服务供应商签署明确的服务协议。但是，最终信息的拥有者也就是企业IT部门要有责任保护云中信息的安全。

　　Dave告诉记者，目前企业对转向云服务的态度可分为两大阵营，一是新公司，他们愿意采用云，是因为云能够较快的部署业务，并降低采购成本。而传统的公司不太情愿把自己的关键业务转到云上，正是由于上面所提到的误区导致。

　　云计算可带来改变游戏规则的好处，常见安全错误是可以避免的，企业只有要拥抱云计算，引领变革潮流。目前已经出现了针对云系统部署的最佳方案指导原则，而且这些内容还将在2012年内继续扩充。 同时云供应商还会逐步整合部署环境，以便让新接触云服务的企业更容易接受。