公有云,一個炙手可熱的詞匯,一個眾說紛紜的技術,一個尚未成熟的市場。這三個看似矛盾的現(xiàn)狀,源發(fā)于Google在技術領域的努力,開始于亞馬遜在市場領域的開拓,呈現(xiàn)于各大廠商的角力之中。
作為一種通過互聯(lián)網(wǎng)提供免費或成本低廉的信息服務模式,公有云從一開始就引發(fā)各方爭論。關于它的每個技術細節(jié)、業(yè)務運作及市場前景,各方立場的不同,導致各自對它的評判也是“公說公有理,婆說婆有理”,但核心問題,還是圍繞著“價格”和“安全”來展開。
公有云:價格or安全,誰是第一位?
對于一項新興技術來說,落地始終是實現(xiàn)價值的唯一途徑,公有云也不例外。在市場推進的過程中,隨著競爭角色的增多,多方之間的博弈也走向深入。在公有云這個領域,愈演愈烈的價格戰(zhàn),其實只是市場競爭的表象。這背后隱藏的業(yè)務問題和市場心態(tài),才是應該關注的重點。
在中國,公有云服務商之間的價格戰(zhàn)正打的如火如荼,亞馬遜、谷歌、IBM、阿里等這些云服務巨頭的服務正在變得比此前更加活躍,但商家們似乎普遍都沒有抓住最核心的問題。
對于一種產(chǎn)品或服務,價格只是代表了用戶成本的降低,并沒有觸及用戶需求的核心訴求。而安全相較于價格,則更為根本。安全代表了產(chǎn)品內含的未來風險,是公有云服務商進入市場的最大前提。有觀點認為,公有云的價格與安全之間兩者之間存在相關性,低價往往導致低質,低質必然引發(fā)故障頻發(fā),故障頻發(fā)最終會導致安全無著,成為公有云發(fā)展的最大問題。
對于公有云的客戶和用戶來說,數(shù)據(jù)的安全性始終是其心中最重要的衡量標準。以往只存儲在自己電腦里、看得見摸得著的東西,現(xiàn)在通過公有的方式,在云端實現(xiàn)操作,誰都會考慮是否安全這個問題。在沒有云的時代,PC的數(shù)據(jù)安全問題導致的隱私外泄、財產(chǎn)損失事件已經(jīng)屢見不鮮,各種“門”事件讓你我心中留下了傷痕,成為抹不去的刻板記憶。
在公有云服務出現(xiàn)后,市場接受度并不高、行業(yè)長遠發(fā)展也遇到阻礙,企業(yè)客戶或者終端用戶們最擔心的是,云服務商不斷地、“無節(jié)操”地降低價格,是否同時也保障了安全風控?如果沒有,這會否埋下一個“定時炸彈”?可見,即便在技術進化到云計算時代,安全問題依舊沒有得到完全的、通行的、標準化的解決,“安全”已成為公有云至今未得到市場普遍認可的首要阻礙。
公有云安全:是不是問題?
談到公有云的安全,支持的一方往往出于為產(chǎn)品宣傳做鋪墊,從技術實力對比出發(fā),得出公有云其實更安全的結論,這其中的代表包括提供公有云服務的企業(yè)、力推公有云發(fā)展的行業(yè)部門等。
他們普遍表示,公有云往往由具備技術實力的大企業(yè)提供服務,他們提供了可靠、安全的數(shù)據(jù)中心,個人在安全方面的技術水平無法與其相比,就如同你將錢存在銀行其實比放在自己口袋里更安全一樣,讓更專業(yè)的人來幫你實現(xiàn)數(shù)據(jù)存儲或處理,將會具有更高安全系數(shù)。谷歌公有云項目GAE方面負責人Eran Feigenbaum就曾經(jīng)表示,“公有云現(xiàn)在已經(jīng)足夠安全讓企業(yè)可以用它來保存數(shù)據(jù),而不會感到他們承擔了某些風險。”
對此,反對的一方并不認同。他們出于對使用方式的擔憂,以業(yè)務情景出發(fā),得出公有云的安全性還有待加強的結論,這方面的代表主要有個人終端用戶、使用公有云服務的企業(yè)、部分行業(yè)專家等。
反對方的觀點是,公有云目前仍然沒有通行標準,各行其是的情況普遍存在,很多安全漏洞沒有引起行業(yè)層面的重視,數(shù)據(jù)盜用風險仍較大,用戶或企業(yè)不可能將大量數(shù)據(jù)放到公有云當中。
比較以上兩種主流觀點,可以發(fā)現(xiàn),公有云在整個市場層面的接受度仍然有待商榷。這一情況產(chǎn)生的原因主要還是聚焦在安全上,要搬開這個攔路石,需要對公有云安全問題進行清晰梳理。
公有云安全的五個問題
公有云的安全問題,沿襲了互聯(lián)網(wǎng)安全的基因,又帶有業(yè)務層面的個性特征。目前,主要集中在以下五個方面:
——數(shù)據(jù)問題 通常情況下,數(shù)據(jù)價值越大、敏感性越強、開放程度越高,對由于公有云的開放程度較高,企業(yè)完全遷移公有云的數(shù)據(jù)價值大,業(yè)務層面的數(shù)據(jù)敏感性強,所以企業(yè)客戶對安全性和合規(guī)性的需求比較高。
但從現(xiàn)有技術水平來看,目前并沒有充分的方式來保證數(shù)據(jù)的安全,盡管亞馬遜、谷歌、微軟、華為、阿里等國內外云服務廠商也根據(jù)各自的客戶需求,進行了一些有針對的探索,但是并未形成統(tǒng)一的數(shù)據(jù)保護和加密機制。
——防護問題 目前,提供云服務的廠商,往往在安全防護方面的沒有直接的管控模塊,對于可能發(fā)生的攻擊,部分采取外包的形式交給第三方來提供基礎保障,造成云端的防護功能并不完全可控。安全防護工作,并不是一個“非此即彼”的問題,而是一個利益與質量之間的權衡和度量問題。
——標準問題 在公有云的各種產(chǎn)品中,并沒有一個可以互聯(lián)互通的一個標準化協(xié)議,廠商之間也只是與各自的合作伙伴進行內部開發(fā)。一旦出現(xiàn)需求變更、數(shù)據(jù)遷移、突發(fā)事件等狀況,用戶的業(yè)務銜接必將出現(xiàn)斷層,引發(fā)連鎖反應。
——透明問題 公有云服務商往往宣稱自己的服務如何全面、技術如何先進、流程設計如何科學,但是表面上的言辭并不能解決客戶心底的顧慮。由于商業(yè)方面的原因,服務商一般會回避自身的短板,如平臺遷移、災備方式、業(yè)務連續(xù)性等。公有云業(yè)務體系的不透明,成為市場進一步發(fā)育的障礙。
——規(guī)則問題 在用戶業(yè)務、文檔、數(shù)據(jù)生成的過程中,由于行業(yè)目前還沒有細化相關責任歸屬的法律文本,只是以出售固定信息產(chǎn)品的形式來確定權責,基于用戶具體業(yè)務操作過程中的安全責任問題,沒有過多闡述,給服務商提供了規(guī)避的機會。鑒于此,有人建議稱,云提供商應為客戶提供某種證書,以證明他們的云已經(jīng)滿足了安全保存數(shù)據(jù)的法律和規(guī)則要求。
面對以上問題,在中國公有云市場上,提供云服務的企業(yè)們,不論是運營商主導的、互聯(lián)網(wǎng)巨頭打造的、部分原IDC運營商改進的,還是跨國公司由國外引入的,都一直未能得出通用的可落的安全性解決方案。為此,公有云企業(yè)客戶和終端用戶、行業(yè)研究專家都曾經(jīng)為解決這些問題表示過呼吁。
值得注意的是,為提升信息技術產(chǎn)品的安全性和可控性。信息安全目前已上升到國家的戰(zhàn)略層面,作為互聯(lián)網(wǎng)的大腦,公有云安全方面的重要性也關乎到國家安全。在這樣的大環(huán)境下,無論是提升公有云服務安全水平、開展更有保證的落地推廣,還是促進行業(yè)健康發(fā)展方面,都將出現(xiàn)一個難得的躍遷契機。
總結
展望公有云的未來前景,我們需要有標準規(guī)范、需要有準入機制、需要有頂層推動,但所涉及的方面,不能僅是技術上的簡單融合,更重要的還有服務質量、市場規(guī)則方面的細化。不論如何,安全問題作為公有云市場必須解決的第一要務,需要首先得到關注。