云安全:Gartner Conference上心得
我參加了 12 月份在美國拉斯維加斯舉行的 Gartner Data Center Conference,希望透過這項活的觀察深入了解企業 IT 專業人員對于虛擬化與云計算的看法。 雖然我個人并不喜歡拉斯維加斯,但我還是逛了一下彈珠臺迷必到的旅游勝地:Pinball Hall of Fame (彈珠臺名人堂)。從信息安全的角度來看,Gartner 分析師和與會人員對于云計算的態度給了我幾點啟示。
虛擬化正當道
VMware 的課程人數爆滿,大多數關于虛擬化與儲存交換網路的課程也是人潮洶涌。有關虛擬化安全的課程,倒提到了一個重點,那就是:負責應用程序與儲存的 IT 人員與負責信息安全的 IT 人員彼此之間缺乏聯系。虛擬化的列車目前正全速向前邁進,但信息安全團隊卻在后面苦苦追趕,努力研究虛擬化可能帶來的安全問題。舊的邊界安全模型正受到嚴重挑戰,因為透過 VMotion 的技術,應用程序在 VMware 環境當中可以自由移動 (小心別讓一些敏感的應用程序意外掉入 DMZ 區域)。對信息安全的影響:您最好小心架構您的虛擬化資料中心,并且考慮采用 VLAN 以及分散式虛擬交換器 (Distributed Virtual Switch)。
私人云計算是企業的短期因應之道:CEO們的要求是:”利用云端來降低成本”,而CIO們的回應則是:”是的,我們已經在做了,那就是所謂的私人云端”。在 Gartner 這次的活動當中,廠商與 Gartner 分析師的重點大都圍繞在私人云計算。對于所謂的私人云端,不論行銷人員或是正在利用云計算概念的企業 IT 人員,每一個人似乎都自己的一套定義。某些正統派云端人士或許對這樣的情況感到不安,但企業 IT 與廠商正紛紛透過”私人云端”的概念來趕搭云計算的列車。我在 Gartner Data Center Conference 大會上看到的整體趨勢是積極虛擬化的資料中心,不過,如果您跟人家說:”我們已經擁有自己的私人云端”,那會讓您的企業聽起來似乎更先進一點。
儲存公共云端
SaaS/PaaS/IaaS 最酷的應用程序,是 General Electric 公司的 Matthew Merchant (CTO) 在其名為”Cloud Storage @ GE”(GE 的云端儲存) 的演講所提到的。GE 內部開發了一個透過公共云端儲存 (例如 Amazon AWS) 進行備份的應用程序。公共云端讓他們減少了 40% 至 60% 的備份成本,聽起來似乎很酷。對信息安全的影響:記得將資料加密以便能夠符合法規遵循要求。
企業韌性與災難復原的公共云端:Gartner 的 John Morency 開了一門課叫做”Building Resiliency via Colocation and the Cloud”(透過比鄰與云端建立韌性),討論有關使用公共云端做為”熱備份”(warm spare) 或”冷備份”(cold spare) 災難復原 (DR) 的備援移轉據點。Morency 有一段發人深省的話:”到了 2014 年,有 15% 的大型企業將合并使用私人基礎架構與公共云端服務來提升復原能力與企業永續性。”DR 是非常適合公共云計算的一項應用,擁有降低成本、提高彈性的效益。對信息安全的影響:企業應該考慮采用像 趨勢科技 Deep Security 7.0這樣的解決方案來保護云端服務器 (抱歉,此處不免老王賣瓜一番)。
測試與開發云端:過去我曾經聽過 Gartner 分析師說,云端是一個測試和開發應用程序很好的平臺,但是這些測試和開發環境所使用的卻是真實且必須保護的資料。當我與趨勢科技的信息安全客戶討論到云端時,他們一慣的答案都是:”我們沒有在用”。但是若問到是否有某些應用程序開發人員會直接上 Amazon EC2 時,這些信息安全人員就會勉為其難地點頭。對信息安全的影響:位于云端的測試與開發環境,如果使用到真實的資料,或許應該采取一些保護措施。
云端內的信息:Cameron Haight 和 Milind Govekar 的演講”Cloud Computing Management - Making Sure Mountains Aren’t Hiding in the Mist”(云計算管理:確保云霧當中沒有隱藏的高山) 當中有一段話讓我深有同感:”云計算并非 IT 的喪鐘;是實上,這是一個讓 IT 服務供應角色重新振作的機會,只要適當地更新流程、工具與組織結構即可。”這一點在信息安全領域尤其如此,因為除了企業本身以外,沒有人會小心看管企業的重要資產。
【編輯推薦】
