为何业务部门私自利用云计算非常危险

目前,企业业务部门不经过IT部门随意利用云计算的事例层出不穷,但是,在缺乏对云计算的安全性和可用性充分了解的情况下利用云计算,势必对企业构成极大的威胁

如果是几年前,IT部门会断言:“目前对云计算的狂热会转眼即逝”,但是今后讲这种大话会越来越难。实际上,确实企业对公有云的投资没有缩小。美国咨询公司Gartner就预测,目前公有云1090亿美元的市场规模,到2016年将扩大为2070亿美元。此外,Gartner还指出,2017年市场总监(CMO)的IT投资额将超过首席信息官(CIO)。例如,提供客户关系管理(CRM)服务的美国salesforce.com和提供工薪管理服务的美国Workday等人气公有云供应商,将会一如既往占据SaaS <http://techtarget.itmedia.co.jp/tt/wpkw/saas.html>市场上位。

美国移动通信供应商Verizon旗下公司Terremark(托管及云计算供应商)负责云计算产品的副总裁Ellen Rubin指出,目前企业IT部门所没有掌握的业务部门任意采用云计算的事例举不胜数,IT的这种情况有时称之为“影子IT( shadow IT”)。Rubin说:“曾多次列席IT部门和业务部门的IT负责人会议。而在这种会议上,你会看到奇怪的情景--已利用云计算服务的业务部门的负责人想极力隐瞒这一事实。”

上述这种情况的问题在于,当业务部门的负责人不通过IT部门直接和云计算供应商洽谈业务时,无疑不会像经验丰富的专业人员那样向供应商提出非常严格的问题,比如系统正常运行时间(uptime)是多少?;如何保证实现数据的冗长化(Redundancy);有哪些安全对策;服务质量协议(SLA)的内容具体有哪些?;长远考虑,这个工作负载(Work load)是否真的会通过云计算节约成本?等等。

而忽略确认以上问题的后果就是,发生众所周知的云计算安全问题。例如洛杉矶警察局停止采用Google的部分Gmail邮件系统,因为Google无法达到他们的安全要求;由于云计算供应商停电问题,导致网络服务中断的事件等。

2012年6月,发生让世界最大的云计算服务供应商亚马逊蒙羞的事件。首先是Amazon Web Services(AWS)的一个数据中心出现停电,然后,亚马逊的弹性负载均衡服务“Elastic Load Balancing”的漏洞更是雪上加霜,致使部分客户6个小时无法利用服务等。

部分受到AWS服务停止影响的用户企业,勉强承认自身的责任,其中,就有美国知名的数字营销创业公司Hubspo的CIOJim O'Neill。“过去,总以为我们公司的应用设计能够充分应当故障,但实际上通过这次事件发现了应对故障薄弱的环节。确实迁怒于亚马逊而把责任推给亚马逊非常简单,最后我们还是认识到必须强化公司的应用。”O'Neill如此说。

IT部门屈服于云计算浪潮

也许并不存在所谓的“ shadow IT”。例如,美国安全调查公司Ponemon 的近期调查报告就显示,企业的IT部门认识到利用公有云已经渗透到公司内部,与此同时,也备受其困扰。

根据Ponemon的调查报告,超过4000家回答调查的企业,近半数的企业回答已经将公司机密数据转移到云计算,同时有三分之一的企业计划2年内予以实施。咋一看这一结果,不禁让人以为大部分IT部门已经不再像以往那样担心云计算的安全问题。

但是,当进一步阅读报告就会对这种看法产生怀疑。因为已将机密数据迁移到云计算的企业中,有39%回答“以往企业对云计算的安全问题认识不足”;63%回答调查的企业承认,它并没有完全掌握云计算供应商针对数据保护采取了哪些对策;更加让人难以置信的是,35%的企业已将密钥(cipher key)交给云计算供应商。

规划此次调查的美国加密技术(Encryption)解决方案供应商Thales e-Security负责企业战略的副总裁Richard Moulds说:“目前,虽然转移到云计算的数据远远超出预期,而让人吃惊的是实际上企业并没有信赖云计算。即便如此,分析企业选择将数据转移到云计算的原因,能够想到的只有一个就是--极大的经济效应。”