云计算在早期主要面向开发者,小型企业和初创企业。主要的价值是提高开发者的生产效率和敏捷性。随着技术不断成熟和市场的演化,云计算大约从去年开始逐步进入企业主流市场。这个结论可以从两方面来验证:云计算服务商所提供的产品越来越适用企业应用。最终用户对云计算的态接纳程度越来越高。很多企业开始采纳云优先战略。公有云和私有云的区别会越来越小。用户可以根据他们对可用性,性能,安全特性和IT资源的隔离程度来自由选择。在过去的几年中,云计算服务商一直在强调云计算的可用性,可靠性,安全性,合规性,SLA等,这些对于云计算的采纳是非常重要的。
企业希望云计算能够促进数字化和互联网+转型;带来生产力的提高并增加IT基础设施的创新,提高敏捷性,灵活性,成本效率。
大多数用户采纳云计算的策略是分期进行的,通常跨越几年的时间。讨论云计算的可用性和可靠性时,其实更准确的是讨论它的使用场景。粗略可以分为3种:云计算原生类和面向互联网的外部应用,企业内部应用和生产型关键应用。不同的应用对IT资源的可用性和可扩展性诉求不同,因而有不同的采纳曲线。这里关键的一点是企业用传统方法对IT的投资和技术更新速度跟不上云服务商在平台上的更新速度。
过去,企业签订复杂的长期合同规范服务商的责任来规避风险。通过安全隔离和严格控制来提供安全保障。这些办法对传统的客户和提供商之间的双边协定有效,但是在云计算时代这些做法是不够的。企业架构师需要采取基于风险的策略来管理云。
从根本上说,没有绝对的安全可靠。硬件会发生故障,软件都会有漏洞。人会犯错误。云计算的设计原则之一是提供韧性,最小化故障的影响。
但这并不是说云计算没有传统IT基础设施安全可靠。相反,最近的趋势表明云平台显示出对网络攻击更好的防御性能和能力。部分原因是云平台对互联网的开放特性,使得服务商有动力不断提升可靠性,把安全放在更高的优先级。
中国的云计算的发展和美国相比大概至少3-4年的差距。但中国的云计算发展很快,正在出现创新性的东西。希望国内的供应商把重点放在业务创新和技术进步上。能够给用户提供更好的价值。
安全性和个人信息保护
今天的IT技术可以收集和分析超大量级的数据,如何保护个人信息和维护用户权益是云计算和物联网时代的一个很重要的问题。
从全球来看,涉及个人数据保护方面的问题主要体现在两个方面:
- 滥用个人数据或个人数据处理不当;这涉及用户数据所有权,有知情权和选择权等。企业有责任对个人数据的存储,处理,使用以及私密性提供保障。
- 用户数据是知识产权的一种形式,其应该受到保护,因为很多商业决策是基于大数据做出的。特别是在欧洲,这个方面比较看重。
从全球来看,云计算供应商对用户个人信息的保护主要体现在以下方面:
透明性
你不能保护你看不到的东西。由于虚拟化技术和自动化技术的广泛应用,很多用户对数据的可见性比较担心。调查发现,缺乏可见性,不知道谁访问了你的数据和应用是用户最大的疑虑。其次是对供应商保护用户个人数据的能力缺乏信心。从而导致用户对供应商缺乏信任。实际上,对云计算发展来讲,安全可用性并不是问题,对供应商缺乏信任有时会成为很大的阻碍因素。云计算供应商商现在正在做的是开发各种工具和服务来提供可视性。
安全性
责任共享
云服务供应商通常采纳责任共享的模式来处理安全问题。服务商保证数据中心,网络,系统硬件和虚拟层的安全,并提供技术和流程来保证用户数据的安全可靠。比如认证和用户账号管理,网络访问控制的授权和数据加密等。在运营上,实行责任分离原则,减少特权账号等。
用户应该对业务应用层次的安全负责。以及对如何使用云平台和配置负责。我们调查发现,95%的安全方面的问题实际上是用户造成的。很多用户有个错觉,觉得供应商应该对安全负责,这实际上是不对的。当企业用户天真地假设云可以“照顾自己”,不建立流程对云进行监督和管理,安全和合规方面的故障是几乎不可避免的,会导致不恰当的敏感数据共享和泄漏。没有任何流程可以可靠地进行,企业资产被可靠地使用,除非责任是明确的和强迫性的。
合规性
在后斯诺登事件时代,关注当地的合规性和数据居留权和数据主权国家法规已在全球兴起。例如:在德国,最近监管要求的客户的数据应该存储在本地,并通过总部设在德国的本地服务商管理。在俄罗斯,法律规定,俄罗斯公民的个人数据不能存储在任何其他国家。在中国,全球服务提供商不得提供云服务的操作和管理客户数据。在许多其他国家,如法国,韩国,用户数据移动跨境的关注也越来越多。目前关于这方面法规的讨论还在进行中。各个国家的政府间要达成一致预计会需要很长时间,在这期间行业的自律性就很重要。
