我同很多傳統IT行業中的人進行過交流，我把他們叫做“抱臂幫（folded arms gang）”。這些人都是IT執行人員，需要處理云計算的使用問題，而且典型的是因為CEO或者他們的董事會成員要求這樣做，但是還感覺云計算還有太多毛病。他們想了解云計算，但是對于使用卻并沒有信心。

 

好消息在于“抱臂幫”的成員人數隨著云計算不斷證明其價值正在減少。然而，云端圍繞安全和隱私問題的爭論還是時常發生。雖然有一定的情感因素，有時候是政治因素在作祟，但是你必須在企業中圍繞實際的問題和真正的風險教育這群人。實際上，我已經發現通常而言，云要比傳統系統更加安全。

 

根據Alert Logic2012年秋季的云安全現狀報告，威脅活動的變化在本地基礎架構上并沒有那么重要，任何可以從外部實現的訪問——無論企業端還是云端——被攻擊的機會是均等的，因為攻擊本質上就是投機。

 

這份報告進一步指出了基于Web應用的攻擊同時攻擊服務提供商環境（53%）和本地環境（44%）。然而，本地環境用戶或者客戶實際上比那些服務提供商環境中的用戶或者客戶遭遇了更多攻擊。本地環境用戶平均攻擊為61.4起，而服務提供商環境客戶平均攻擊為27.8起。相比較而言，本地環境用戶也遭受了更為顯著的蠻力攻擊。

 

無疑，存在一種迷思，即云計算內在的就比傳統方法缺少安全。那些偏執分子認為這種方法本身就是不安全的，因為要將你的數據存放在非自己且無法控制的服務器和系統上。

 

然而，控制并不意味著安全。正如我們在這份報告中看到的，在最近今年的攻擊發生率上看，比數據的物理位置更重要的是訪問方式。這是基于云的系統和傳統企業計算同時面臨的情況。此外，那些為企業構建了基于云的平臺的人通常比那些在防火墻內構件系統的人更加關注安全和治理。

 

沒有按照相同的嚴格的安全標準而構造的系統并不意味著安全，不管是否在云端都是如此。因此，最佳的實踐就是關注定義良好且可執行的安全策略，采用正確可行的技術。而不是關注平臺的區別。

 

我給出的建議包括三個步驟：

 

1.針對具體的系統和/或數據存儲，理解安全和治理需求。很多圍繞云或者傳統系統部署安全的人并不理解他們在試圖解決什么問題。你需要提前定義這些內容。

 

2.要理解控制訪問的重要性遠大于數據存儲位置。關注數據如何訪問，尤其要關注數據外泄了怎么做。再次重申，大多數數據外泄都是弱點所在，不管是否在云端。

 

3.最后，脆弱性測試完全有必要，不管你是測試基于云的安全還是傳統系統的安全。未測試的系統就是不安全的系統。

 

我懷疑我們圍繞安全想的都不一樣，而且我們部署的云更多的是基于公有云的系統和數據存儲，而且這種現象還會持續下去。然而，沒有正確的計劃和良好的技術，基于云的平臺會更加有風險。同樣的事情也會發生在現有的系統上。天下并沒有免費的午餐不是嗎？