嘉哲的翻譯／寫作作品集

雲端運算的成長對企業的資訊安全策略造成戲劇性的轉變

 因為傳統資訊安全的作法對於公共雲或私有雲均不容易適用，非營利團體雲端安全聯盟（Cloud Security Alliance）正努力協助各企業的CIO了解不同雲端服務供應商的安全作法

 如果我們能夠多喜歡雲端運算一點點，全球經濟將會有很大的不同。當金融市場為每一則痛苦的新聞標題而陷入震盪的躁鬱情緒時，雲端服務市場卻穩建地向上提昇與向前發展，似乎完全不受到非虛擬世界的觀感所影響。

 根據研究機構Global Industry Analysts的研究報告顯示，全世界對雲端運算服務的需求在2015年將高達2225億美元，事實上，目前非常危險的經濟情勢，似乎更推動了未來雲端運算的前景。

 「不良的經濟情況反而增長需求，如同急需現金和營收的公司，不斷找尋成本效益最高，需要最小程度的投入甚至不用投入成本，並且對運算資源採取低程度管理的解決方案。」一位分析師在研究報告中寫道。

 IDC預測雲端運算服務市場在2015年將從2010年的215億美元成長至729億美元。事實上，在2015年，公眾雲端服務將在下列的五個關鍵產品類別，佔有整體資訊支出市場46%的全新淨成長，這五個類別分別為─應用程式、應用程式開發與使用、系統基礎建設軟體、基本儲存和伺服器。　　　

 有這樣的成長預測，還有什麼事是可能出錯的？

 事實上，使用者對於各式各樣不同的雲端運算─公眾雲、私有雲和混合雲相關的安全、管理和風險控管問題，仍然有著明顯的不安。「安全和其他風險的考量，是抑制使用雲端運算的最大因素。」Gartner研究機構的副總經理Jay Heiser說。

 Trend Micros在一項針對全世界1200位受訪者的調查中發現43%的受訪者對於他們的雲端服務供應商有安全上的疑慮。這項報告顯示僅管愈來多企業採用雲端運算，有50%方企業仍然擔心他們資料的安全問題和雲端基本建設本身的問題。大約有48%的受訪者表示他們對雲端服務效率和可用程度感到擔心。

 另一項由Burton Group（目前己經被Gartner 所收購）在2009年七月所進行，名稱為「企業對雲端運算安全調查」的分析報告中也支持了上述的論點。

 Burton group的研究人員在報告中表示，「雲端運算產生大量風險，同時針對安全防護程式和架構需要仔細思考，而不是重新再去開發解決方案。就企業使用公眾或私有（社群）雲端服務的程度，企業應該改變他們對資訊安全的態度，從過去的預防管理的作法，改變成強調風險轉移、強勢處理、監控管理、資訊回饋和稽核作業等作法。」

從集中管理轉移至分散管理

 資訊安全管理的典型作法，簡單地說，將無法輕易適用於雲端運算環境。

 採用集中管理的原因是因為過去缺乏一個中心。不久之前，資訊安全的基本教條只是將所有敏感的資料放置在一個安全的、用防火牆保護的環境，同時強化這個防火牆。任何在防火牆裡資料是安全的。但任何在防火牆以外的資訊，就不盡然了。

 在幾年之後，行動裝置的擴散普及，遠端連線和企業組織間的合作，己經對這個資訊安全運算的哲學，不斷地打洞加以破壞。更進一步，我們現在也開始了解「雲端」不只是公司外的「某個地方」，而是管理資訊運算和通訊資源的一種方式。

 雲端運算所需要的安全管理作法，應該較傾向「聯合式管理」而不是「集中化管理」。換句話說，當企業組織針對重要的企業挑戰或流程，找尋最合適和成本效益最高的技術資源時，他們會轉向第三方供應商，如SalesForce.com進行顧客關係管理作業。他們的理由是：這些第三方供應商在管理不同的功能時，以更低的每機授權價格，提供更好的服務。他們具備經濟規模，同時具有許多實際經驗。

 們也知道聲譽最好的雲端服務商必需自行負起大部份的安全防護責任，讓他的服務符合最高的資訊安全標準，同時遵循客戶的需求。他們的商業模式完全仰賴企業客戶對他們的環境有著高度的信心。

 「傳統的資料安全作法是由外往內的方式，因為你設置不同層次的主要防禦設備。」Dave Asprey說，Trend Micro 的雲端安全副總經理。「在雲端環境中，許多你用來防禦的安全設備不再是由你負責。因此，（企業）無法完全了解他們過去所習慣用來提供全面防禦的安全設備。」

 　　聯合管理的問題在私有雲中，亦並未消失。當CIO接受內部雲端運算，整合基礎建設並產生最佳化服務時，聯合式管理的概念仍然是需要謹記在心的。

利用率最佳化

 舉例來說，將基礎建設虛擬化代表著應用程式可以在不同的伺服器間依照需要快速地移動。這個方式最主要的成本效益是它可以協助將基礎建設的利用最佳化。這個作法改變了過去在特定的伺服器上安裝應用程式，但在尖鋒時間只使用百分之十至三十的利用率的情況，虛擬化基礎建設讓CIO可以創造一個不用考慮作業系統的「處理能量儲備庫」。這樣的縮減讓企業組織可以將利用率加倍，甚至三倍化。這樣的作業節省了大量的金錢。

 但它也造成了一些有趣的問題：你如何知道重要的資料在需要時能及時傳送？資料流向可以進行追蹤嗎？同時不論資料在虛擬化環境的任何地方，資料可以保持在一致和相容的狀態嗎？

 其中一個最大的挑戰是如何將現有的服務，連同稽核的標準、相容性和資訊安全一併整合至新的雲端基礎建設中。」Dave Elliot說，他是賽門鐵克Symantec(SYMC)的開發經理。

 為了在整個流程中增加透明度，愈來愈多的使用者相信雲端服務產業應該發展某些以雲端為重點的安全認證計畫。

 其中一個想在這個領域建立權威的實例是雲端安全聯盟Cloud Security Alliance (CSA)，它是一個非營利組織，它的使命在於倡導在雲端運算環境中，提供安全保障的最佳作業典範。

 在今年八月初，這個團體推出了一個新活動，鼓勵雲端供應商將安全作業透明化。這個名為CSA資訊安全，信任與確保登錄註冊活動(Security, Trust & Assurance Registry, STAR) ，活動時間預計到今年的第四季，這是一個免費、公開的註冊活動，詳細記錄各種雲端運算服務所提供的安全管控作法，因此可以協助使用者了解他們目前使用或正考慮使用雲端服務的安全防護方式。

一個名為STAR的活動利用和國際標準設定組織的合作，界定資訊安全和隱權問題的最佳典範，讓企業可以在雲端策略上，更有信心地跨出一步。

 所得到的效益　

 許多專家們都同意雲端資訊安全標準會帶來許多效益，這些效益包含下幾點：

l         一致性：使用者將有一套特別針對雲端運算服務的標準，同時也了解對他們的供應商所該提出的特定問題。「目前只有一小部份的供應商真正用心地看待這些問題，但我真正相信買方將會強迫他們的服務更加透明。」Heiser 說。

l         可用性：對於最長營運時間和在多個雲端平均工作流量有興趣的企業而言，這是一個安全的方法，讓他們可以分散工作量，並且可以確保資料進行備份。如果其中一個雲端供應商停電無法提供服務，其他的雲端供應部可以馬上接手處理。「其中一個安全效益是可用性，」Asprey說。「使用者了解如果沒有資訊安全管理，雲端運算可能會停機，並且他們作業也會被影響。資訊安全己經被視為是雲端作業上的必須條件。」

l         節省成本：利用這些標準，使用者可以要求雲端供應商進行負責。他們可以按照這些標準去執行，這同時讓作業成本降低。

使用者對作業背後的雲端資訊安全和風險調整流程具有信心，將是市場未來持續成長的關鍵要素。同時我們也知道，如果雲端運算可以維持它目前的榮景，或許能對我們目前表現疲弱的經濟，帶來正面的影響。