云計算的風險大于其收益
云計算成為了企業中負責業務的高管們紛紛投奔的對象,并通過對IT基礎設施管理進行外包來削減成本。經濟衰退已經迫使許多公司開始考慮基于云的服務,如Amazon的EC2應用服務以及微軟的Azure云計算平臺。
云安全聯盟和惠普公司最近的一份報告指出了云計算存在的七大風險,其中包括黑客滲透到云計算平臺并使用云基礎設施來攻擊其他機器、不安全應用程序接口(API)導致漏洞出現和數據泄漏等。
IT職業人員(尤其是ISACA的成員)不應該對這個調查結果感到驚奇,而是應該采取謹慎的態度來對待云計算這項新技術,并仔細評估它的風險。
一個良好的培訓制度以及過程自動化使得風險成為一件值得考慮的事情,你甚至也可以讓風險變得可以接受”,他說,“如果你極其反對風險的話,那么你的業務也永遠不可能得到發展。
受訪者沒有被問及哪些云服務是他們最擔心的。調查發現,大多數任務優先(mission-critical)的IT服務還繼續被保留在企業中。只有10%的受訪者所在公司打算把任務優先服務轉向云計算,而近四分之一(26%)的企業根本就沒有打算把云計算應用到IT服務中去。
對于任務優先數據來說,這只不過是萬里長征的第一步。從一個公司高層管理人員的角度來看,云是非常有效的,所以不管IT部門想不想要云,企業最終都會轉向云。監管規則和標準阻礙了云的應用,規則遵從是主要的障礙之一,它導致企業放慢了向許多云項目轉移的速度。近30%的受訪者表示,對于與IT風險相關的項目來說,規則遵從項目是最大的驅動力。
大約有半數的受訪者表示,在2010年與IT風險以及規則遵從相關的項目,其投資額跟2009年的變化不大。在任何公共云里實現規則遵從都不是一件簡單的事情。
人們知道,任何類型的電腦連接都會有風險,但是規則遵從正好成為人們為需要監管的服務采用更多云服務的主要障礙。如果你被黑客攻擊了,你可以讓審計人員負責;但是,如果你在云計算中被黑客攻擊了,你沒法再讓審計人員當替罪羊了,那么你自己可能會被炒魷魚。
ISACA的此次調查是一個令人鼓舞的跡象,因為這顯示出從事風險策略的IT職業人員正在努力找尋解決問題的方法,而不是去逃避這些風險。他們的許多顧慮也會隨著時間的推移而煙消云散。但他也表示,就目前來看,人們還是缺少對云計算的理解,有備案的使用案例也很缺乏。
云安全聯盟的標準工作組正在把跟云有關的風險與各種各樣的標準和監管規則聯系起來。比如,工作組已經跟PCI安全標準委員會合作,并開發了一個框架 —— 一個云控制矩陣—— 以便根據企業必須遵守的控制標準制定出一套對應的云服務提供商控制標準。
【編輯推薦】
