云计算成为了企业中负责业务的高管们纷纷投奔的对象,并通过对IT基础设施管理进行外包来削减成本。经济衰退已经迫使许多公司开始考虑基于云的服务,如Amazon的EC2应用服务以及微软的Azure云计算平台。
云安全联盟和惠普公司最近的一份报告指出了云计算存在的七大风险,其中包括黑客渗透到云计算平台并使用云基础设施来攻击其他机器、不安全应用程序接口(API)导致漏洞出现和数据泄漏等。
IT职业人员(尤其是ISACA的成员)不应该对这个调查结果感到惊奇,而是应该采取谨慎的态度来对待云计算这项新技术,并仔细评估它的风险。
一个良好的培训制度以及过程自动化使得风险成为一件值得考虑的事情,你甚至也可以让风险变得可以接受”,他说,“如果你极其反对风险的话,那么你的业务也永远不可能得到发展。
受访者没有被问及哪些云服务是他们最担心的。调查发现,大多数任务优先(mission-critical)的IT服务还继续被保留在企业中。只有10%的受访者所在公司打算把任务优先服务转向云计算,而近四分之一(26%)的企业根本就没有打算把云计算应用到IT服务中去。
对于任务优先数据来说,这只不过是万里长征的第一步。从一个公司高层管理人员的角度来看,云是非常有效的,所以不管IT部门想不想要云,企业最终都会转向云。监管规则和标准阻碍了云的应用,规则遵从是主要的障碍之一,它导致企业放慢了向许多云项目转移的速度。近30%的受访者表示,对于与IT风险相关的项目来说,规则遵从项目是最大的驱动力。
大约有半数的受访者表示,在2010年与IT风险以及规则遵从相关的项目,其投资额跟2009年的变化不大。在任何公共云里实现规则遵从都不是一件简单的事情。
人们知道,任何类型的电脑连接都会有风险,但是规则遵从正好成为人们为需要监管的服务采用更多云服务的主要障碍。如果你被黑客攻击了,你可以让审计人员负责;但是,如果你在云计算中被黑客攻击了,你没法再让审计人员当替罪羊了,那么你自己可能会被炒鱿鱼。
ISACA的此次调查是一个令人鼓舞的迹象,因为这显示出从事风险策略的IT职业人员正在努力找寻解决问题的方法,而不是去逃避这些风险。他们的许多顾虑也会随着时间的推移而烟消云散。但他也表示,就目前来看,人们还是缺少对云计算的理解,有备案的使用案例也很缺乏。
云安全联盟的标准工作组正在把跟云有关的风险与各种各样的标准和监管规则联系起来。比如,工作组已经跟PCI安全标准委员会合作,并开发了一个框架 —— 一个云控制矩阵—— 以便根据企业必须遵守的控制标准制定出一套对应的云服务提供商控制标准。
【编辑推荐】
