每当Google的云产品出现一些安全问题,媒体上总会铺天盖地的出现关于云服务是否安全的讨论。那么云服务是不是足够可靠和安全,能不能应付复杂的关键任务应用呢?在我看来,答案是肯定的。由于频繁的备份和严格的安全策略,云服务的提供商们往往比其他企业做的更加严格,事实上,选择一项或几项云服务能够为企业在减少成本的同时降低安全风险。
我仔细想了想在最近这十年里我给成百上千家企业做过的安全审查。总的来说,一般的企业都会有几十个安全漏洞,其中有许多是最高级别的风险,但奇怪的是企业中的安全管理人员也不会对我的报告大惊小怪,他们还知道多得多的问题,只是很少去主动解决问题。我经常会发现巨大的政策漏洞,任务关键服务器上的软件还没有打补丁,爬满虫子的应用,良莠不齐的数据恢复,以及数不清的恶意软件。
然而,在我审查过的云服务提供商们却是另一番景象:他们有着高度集中和锁定良好的安全环境。我不用提交40到90页的长篇报告,往往5到20页就可以解释清楚出现的那几个问题。而且我发现云供应商的规模越大,出现的问题就越少。
并不是说每个云供应商都是完美无缺的,也不是说云产品就不会丢失数据或死机。有些做的不好的云服务提供商会由于一个薄弱环节而使整个房子塌了下来,但普遍来说云供应商在安全性和可用性方面要优于一般的非云企业。
做一次修补就可以同时更新所有用户,这是运行云的最大的好处之一。例如在今天大多数企业中,从发布补丁到系统更新,修补关键安全漏洞可能需要几天到几周的时间。而云供应商可以只做一次修补就保护所有的客户。
此外,我知道大多数非云企业会在夜间做一些关键任务应用或交易的备份,这样如果电子邮件或Web服务器出现问题时可以恢复前一天晚上的数据。但云服务的厂商通常会对每一次交易立即备份,而且几家主要的云服务商都在安排在全球不同地区的分布式备份阵列上即时备份每个字节的数据。
有些人对将来会出现的巨大的共享云感到担心,其实也包括我自己在内,会不会出现一个漏洞把所有客户全都置于风险之中?当然有这个可能,但这和我们今天碰到的没什么不同。例如1988年的RobertMorris蠕虫基本上搞垮了Internet,2003年的Slammer蠕虫大爆发感染大部分主机也只用了不到10分钟。
我们在未来将要面对的大部分计算机安全问题与今天的安全威胁有许多共同之处,但我们会采取一系列努力来控制问题。比如一个24/7的全天候云服务提供商能够快速的做出响应,最大限度地减少损失,解决问题并让系统重新启动,这可能会比以前做的更快。新生的问题也将随着云技术的不断成长和成熟而更好的得到解决。
来源:机房360