私有云 vs. 公有云:誰更安全?
責編:gltian |2019-10-18 14:49:36“云變革” 早期時,在系統管理員眼中,用 “云” 這個比喻來圈定該技術棧是個有趣的選擇。大腦意象中,云這種綿軟蓬松的形象似乎難以鎖定 IT 市場營銷人員口中無處不在、永遠在線的云服務。但隨著越來越多的公司企業開始采納公有云和私有云解決方案,即便不是這種比喻的支持者,也很容易看出云服務帶來的各種好處。
而公有云成本步步緊逼私有云托管服務,供應商紛紛忙于往自身云產品中添加越來越多的功能,也使公有云和私有云之爭如今不像以往那么激烈。安全界尤其如此,公有云提供商尋求進一步區別于傳統上享有極高靈活性和嚴密安全性的私有云網絡。(當然,這種假設的前提是您準備自己構建該安全棧。)
某種程度上,在安全作為首要考慮的情況下,私有云仍是保持安全控制在內部進行的有力方式。需要往私有云中添加新安全功能時,多數情況下主要挑戰存在于你部署該工具集的速度。這就確保了你可以快速而方便地增加你的安全覆蓋面。但成本是個問題——在私有云中維持自身基礎設施,那么維護自家安全 “花園” 狀態的責任就落到了自己身上,全年都得 “剪枝”、“除草” 和看顧整個花園。
公有云則不一樣,你可以外包安全目標,把安全責任推出去。慣于評估風險的人可能會對此概念抱有懷疑,看不見的問題自然是比直接掌控下的問題更難管理。如果供應商的安全歷史零碎且未經檢驗,那就尤為令人擔憂了。
在公有云安全問題上,需要考慮一些可能會忽略掉的細微差別。中央托管的管理服務意味著可以隨處訪問,也就凸顯出多因子身份驗證登錄等額外預防措施的重要性。(盡管可能是分布式的,但多數大型云提供商都會拿出單一的 URL 供管理員訪問。)而且,全部管理控制指令經由公共互聯網傳輸的風險也得考慮。當然,指令傳輸幾乎可以肯定是在 SSL 上進行,但近年來頻頻發生的中間人攻擊已顯示出,即便用了 HTTPS,也存在難以檢測的流量竊聽或篡改風險(尤其是在你控制之外的網絡上)。
所以,做出安全建議時,該如何在二者之間選擇呢?可以先問問這幾個關鍵問題:
1. 希望在云端存儲的數據是什么類型的?有沒有包含信用卡信息、用戶記錄等需遵從特定法律要求,且可能需要具體安全規定來驗證云服務的數據類型?不僅要考慮當前數據,還要考慮未來服務擴展可能會納入的數據,如果采用私有云和公有云并存的混合環境,還得考慮數據在兩個環境中 “泄露” 的風險。
2. 服務提供商切實提供了哪些安全服務?其歷史安全響應效果如何?幸運的是,互聯網方便了獲取關于公司安全行為的第三方洞見,但別忘了檢查你潛在供應商的通信過程是什么樣的。
3. 自家用于維護該服務的安全技術/工具集的能力和覆蓋范圍如何?很多情況下,沒看到的警報近乎根本沒有警報。有時候,選擇托管公有云服務可能是充分覆蓋公司重要資產的唯一方式。
只要獲得了這些問題的答案,就可以更明智地評估最佳云解決方案了。
而且,現在正是以競爭性價格獲取上佳服務的好時機。快速發展的云服務市場,為改善公司安全態勢和獲取云托管解決方案所有好處打開了新大門。僅僅需要確保公司處于云端時對自身云邊界有著清醒的認知,保護好自身云邊界。