写在前面：本文作者David Spark是Spark Media Solutions公司的创始人，Spark Media Solutions是一家品牌新闻公司，通过品牌质量的媒体制作，帮助其客户成为相关领域的“发声者”。

背景

早在多年前，我在旧金山举行的年度信息安全RSA大会上发表演讲时，曾询问过与会人士这样一个问题：

安全领域炒得最火的话题是什么?

大家普遍反应为：

云计算。

云计算可能早在多年前就被炒得火热，不过现如今它却成了一个必不可少的商业驱动力。不幸的是，由于对其有效使用的认识仍存在种种困惑，致使该行业领域出现了一系列“神话”——即经常被提到,普遍被接受,然而,其实都是不正确的观念。这些云安全神话常常令许多企业首席信息官们（CIOs）感到惴惴不安。

20大云安全神话

究竟有哪些云安全神话正在不断流传，它们的真相又是如何？以下是行业专家们不得不澄清的观点：

1. 云天生不安全

Mimecast公司的网络安全专家Orlando Scott-Cowley认为：

一直以来，流传甚广的最大神话就是存储在云中的数据不安全。时至今日，我们仍然可以看到大量的服务器支持者，他们声称数据存储在自己的网络上才会更安全，因为他们能够在服务器机房里切实地掌控或感受到那些冰冷的服务器，看到服务器机房中闪烁的指示灯他们便觉得踏实。

Softchoice公司的技术服务经理Tim McKellips表示：

有一种非常自然的看法认为，对于我无法控制的东西天生就是不那么安全的。我认为，像微软这样的云服务提供商正在付出巨大的努力，以一种普通客户永远无法做到的方式来确保他们的云环境安全。

数十位专家纷纷否认这一根深蒂固的神话，他们认为与您的组织相比，云服务提供商拥有更强的专业经验以及更多的技术人员。

LiquidHub公司合伙人兼全球Salesforce业务负责人Brennan Burkhart表示：

云服务公司正开始大规模地投入，其规模之大是任何一家单一的企业组织都无可匹敌的。

Nimbix公司首席技术官Leo Reiter继续说道：

网络安全是云服务提供商的生存和立足之本，而大多数其他企业组织通常不会将网络安全列为其核心竞争力之一。

Whatisitwellington网站的作者兼IT顾问Ian Apperley继续补充道：

云计算正在以您永远无法实现或负担不起的方式来提升您的安全性。这主要还得归功于云的规模经济效应。

2. 云安全争论很简单

ISG公司的首席顾问Scott Feuless认为：

最大的误区是，云安全问题实在太简单了。

“云安全性不高”的观点没有考虑到决定部署云服务所涉及的许多变化因素，例如您企业组织的规模、现有的内部专业经验、您的竞争对手有哪些、您是否需要针对每个部署进行渗透测试，以及您企业组织的扩展需求等等。

不需要将云视为只能二择其一的决定。Netskope公司首席执行官兼创始人Sanjay Beri表示：

这不是‘是或不’或者‘允许或禁止’的二选一的世界。正是得益于无所不在的API(应用编程接口)，现在有了一些工具和功能，使得IT人员可以在任何数量的环境中安全地开展云计算工作，以满足用户的独特需求。

3. 云中存在更多的数据泄露

这个神话再一次简化了一个非常复杂的问题。根据Alert Logic公司之前发布的云安全报告指出，内部服务提供商和云主机托管服务提供商(CHP)都发现，在2012年至2013年期间的漏洞扫描数量呈现急剧增加的趋势，其中CHP的增幅略高一点。但是内部环境受攻击的风险要高得多，这主要取决于攻击类型，例如恶意软件和僵尸网络等。

KEMP Technologies公司产品线管理总监Jason Dover表示：

对于私有云基础设施和服务提供商网络来说，互联网威胁同样是一种非常大的风险。

Huddle公司总裁兼联合创始人Alastair Mitchell表示：

当实施正确的安全策略来预防和检测攻击时，攻击对云来说不会比其对其他任何基础架构更具威胁性。

ASG软件解决方案公司云部门产品管理副总裁Torsten Volk指出，公有云提供商通常会雇用一支技能强大的安全专家团队，此外，它们也具备足够经济规模来购置最尖端的专业安全设备。因为毕竟它们已经将自身声誉维系于此。

4. 对数据拥有物理控制就意味着安全

Splunk公司Splunk Cloud总监Praveen Rangnath表示：

关于云安全的最大神话是，控制是安全的基础，亦或是缺乏安全的基础。但其实，云安全的基础应该是可见性。

NaviSite公司的总经理Sumeet Sabharwal补充道，过去几个月中，各种重大的安全事件已经突出表明，数据的物理位置不如访问及相关控制措施来得重要。

CliQr公司的企业开发执行副总裁David Cope表示，相信数据位置神话会使注意力偏离出较为常见的攻击媒介，例如利用人性弱点的社会工程手段以及恶意软件等。他提到，Verizon公司发布的年度数据泄露调查报告就是这一安全威胁趋势的佐证。

5. 云安全难以维护

Flux7公司首席执行官Aater Suleman表示：

我们遇到的有关云安全最常见的神话是，云中的安全性比内部部署更难以维护。

Suleman继续道，相信这个云安全神话，会导致许多公司要么以业务需求的名义降低安全性，要么就是拒绝将云用于关键任务型应用系统。

Denny Cherry & Associates Consulting公司创始人兼首席顾问Denny Cherry强调，其实安全问题是相似的。他表示，

SQL注入攻击(系统面临的最大安全风险)仍是云环境面临的一个问题，但可以用与内部环境相同的解决方案来处理。无论是面对云服务提供商，还是面对内部系统，防火墙配置、渗透测试以及VPN等等都是一样重要的。

6. 你可以在云应用程序周围构建一个边界

Cohesive Networks公司首席执行官兼联合创始人Patrick Kerpan表示：

随着应用程序遍布互联网，如果一家公司认为可以在自己的所有应用程序周围构建一个边界，那么它们一定是疯了。

Sookasa公司的首席执行官兼联合创始人Asaf Cidon补充道，即便面对云，人们仍然从基于网络的安全性这个角度来考虑问题。他们仍然试图通过反向代理和防火墙来保护自己的网络免受云端攻击。

Kerpan继续说道：

安全应该延伸到每一个企业应用程序。

Fluke Networks公司安全分析师Greg Rayburn也表示同意这一观点，他说，需要设置多层安全防线来打击黑客。根本不存在一招制敌的秘诀。

CMI公司解决方案副总裁Tim Cuny表示：

边界会随着云进行延伸，目前，边界已经被移动和物联网所破坏。所以，我们应该抛弃保护网络边界这一旧观念，并将注意力放在制定全面的风险管理计划上，致力于从人员、流程和技术的角度来实现网络资产保护。

7. 我没有使用云，所以我得到了更好地保护

尽管很多人可能会自欺欺人地认为只要自己不使用云，就会更安全。但是别忘记，我们每天都处于在线状态，所以同样很容易受到各种相同的安全威胁。

Harmony Technologies公司总裁Peter Landau表示：

如果你的系统已经连接到互联网，那么其实你就已经在云端了。

CloudCamp公司联合创始人Dave Nielsen补充道，最大的安全威胁就是将任何设备(笔记本电脑等)连接到公共互联网，或是将任何软件部署到公共互联网上。

8. 影子IT（Shadow IT）可以得到遏制

SysAid Technologies公司首席执行官Sarah Lahav表示：

员工自行购置云服务所带来的安全隐患是无法避免的。

尽管IT部门无法控制IT的消费化，但是一旦出了任何技术问题，IT部门仍然是最终的责任方。

Fluke Networks公司首席技术官Bruce Kosbab表示：

当企业用户遇到应用程序性能糟糕(包括SaaS应用程序方面的性能问题)的情况时，尽管IT部门可能与正在使用的基础架构间没有任何关系，但是他们仍然需要担负责任，并帮助解决问题。所以，为了避免这种情况，IT和业务部门之间必须通力合作。

CloudTweaks网站的资深作者Steve Prentice补充道，包括首席执行官在内的具有代表性各部门管理层必须对云安全策略的设计、部署和维护工作负责。

9. 云安全只是云服务提供商的责任

RiskIO公司战略副总裁Jeff M. Spivey表示：

关于云安全问题，另一个较为常见的神话是，云服务提供商会自动关注并满足客户在云中的数据和流程等所有方面的安全需求。

Avail Partners公司的管理合伙人Scott Maurice表示，云服务提供商只是提供给用户可用于制定、实施和执行云工作流程安全措施的工具，但其本身并不会规避与更高级别攻击或妥协相关的业务风险。

ASG公司的Volk补充道：

密码策略、软件补丁的发布管理、用户角色的管理、员工的安全培训以及数据管理策略等，都属于客户需要承担的责任，这些工作至少与公有云提供商所做的安全工作一样重要。

此外，在加强内部安全性的同时，切勿想当然地认为您的云服务提供商会帮您备份您的数据，并且在发生安全泄密事件时能够帮您恢复数据。

Galeas Consulting公司总裁Bruno Scap表示：

实施备份解决方案——即将放在云端的数据备份到本地备份系统或其他云服务提供商处，是非常重要且有用的手段。另外，如果出现数据泄密事件，你可能需要从已知干净的备份来恢复数据。

10. 你不需要管理云

Oildex公司软件工程副总裁Michael Weiss表示：

许多人以为，由于云基础设施通常基本上只是一项托管服务，因此服务的安全性也同样得到了管理。许多基于云的系统都会因为这种疏忽而变得不安全，因为客户不知道他们需要采取一些措施来确保安全，他们只是想当然地以为服务提供商已经完成了内部安全人员传统上在默认情况下需要完成的工作。

Zensar Technologies公司助理副总裁兼云计算专家David Eichorn表示，云安全需要与任何数据中心相同的一套安全机制。云数据中心与任何数据中心一样具有弹性，但是如果相关的IT运营人员没有定期监控政策、流程和工具，那么就可能会出现这种安全漏洞。

451 Research公司的企业安全业务高级分析师Adrian Sanabria同样表示，

组织需要了解界线在哪里，以及谁需要对此负责？通常而言，云服务提供商基本上要负责其网络上及其数据中心中的一切。然而，硬件层和低级网络层上面的一切则是客户需要负责的。

11. 你可以忽视BYOD，变得更加安全

Acronis公司的云和托管服务销售高级副总裁John Zanni表示：

不支持和不实施BYOD(自带设备)政策并不意味着企业面临数据泄密风险的机率会减小。

Zanni建议称，企业可以部署移动内容管理(MCM)解决方案，因为保护数据将最终决定您的企业的安全性和合规性需求。

12. 云端数据并不保存在移动设备上

Nubo公司首席执行官Israel Lifshitz表示，我仍然可以听到有人这样谈论云部署，就好像使用这种服务便意味着您不会在移动设备上存储任何企业数据，因此设备数据保护便显得毫无实际意义。但是，需要注意的是，连接到设备的应用程序始终在缓存数据，而这些缓存的数据就存储在您员工的移动设备上。这些数据可能会遭到破坏或被黑客入侵，因而必须加以保护。

13. 单租户系统比多租户系统更安全

Panopto公司首席执行官兼联合创始人Eric Burns表示：

多租户系统比单租户系统具有两项安全优势，一是它们提供了额外的内容保护层，二是它们确保安全补丁始终保持最新。

Burns指出，虽然云托管系统提供了基于硬件和边界的安全性，但是选择多租户解决方案的用户可以获得第三层保护，称之为“逻辑内容隔离“，这层保护旨在帮助防止内部边界（inside-perimeter）攻击。

Burns解释称：

就好比公寓大楼里面的住户可以使用一把钥匙进入大楼，然后使用另一把钥匙进入自己的公寓房间一样，多租户系统的独特性在于，既需要确保边界安全，又需要‘公寓级’安全。

可以说，这第三层“逻辑内容隔离“保护对多租户系统用户来说是一层必不可少的保护。

此外，Burns还表示：

多租户系统还能够确保发布同时适用于所有用户的软件更新(包括安全补丁在内)。而对于单租户系统而言，就需要软件供应商逐一更新每个客户的虚拟机。

14. 多租户系统比单租户系统更安全

既然单租户系统比多租户系统更安全的观点是神话，那么反过来总是没错的吧？当然不是，要记住，云安全领域没有绝对的东西。认为多租户系统比单租户系统更安全的观点同样是一个神话。

对于一些组织来说，在多租户环境中出现的强行升级和维护窗口可能是不利因素。

Bomgar公司的解决方案技术高级总监Boatner Blankenstein解释称：

确保您的变更管理需求能够得到满足，并且确保你有时间进行升级计划，这对于多租户系统来说常常是一个问题。单租户为计划停机维护增添了灵活性，而不会影响其他用户。

15. 您拥有您云端的所有数据

Legal Workspace公司首席执行官Joe Kelly提醒道，您的数据在完成上传之后可能就并不总是属于你的了。如果这些数据存放在另一个国家，你可能还要考虑棘手的跨境管辖权问题。许多网站保留了确定数据是否违规或者是否侵犯版权或知识产权法的权利。其他一些网站也会根据您的内容兜售相关广告――这就意味着您的信息可能不像您以为的那般私密安全。

16. 云服务提供商将持续管理认证和合规

Virtustream公司联合创始人兼解决方案架构高级副总裁Sean Jennings解释称：

许多云服务提供商过分简化了他们平台的安全态势，并将对话的主题引向第三方授予的认证和合规问题上。安全认证只是体现了当下的云平台及支撑性流程……刚获得认证，结果就过时了，这完全有可能。

Silicon Mechanics公司首席运营官Dan Chow表示，重点不一定要放在执行（合规政策）上，而是应该放在满足合规的审计和报告上。如果监管标准发生变化，知道哪里存在差距，这对于满足最新要求并确保公司符合最新标准来说非常重要。

17. 云安全是一种产品或服务

Galeas Consulting公司的Scap表示，安全不是一种产品或服务，而是一个过程。根据特定应用程序或服务的用途来划分您的网络，并部署防火墙、监控日志、系统和网络活动，创建并遵循安全程序和策略，确定谁有权访问数据，并为应对安全事件制定出可以遵循的方案。

18. 云服务器拥有无限的资源

您的云服务器可能看起来拥有无限的内存和处理能力，但是一旦消耗的资源超出您的需求可能会导致出现性能问题以及费用急剧上升的现象。

TAG-MC公司总裁Abdul Jaludi解释称：

云服务器在处理器、内存和输入/输出(I/O)方面面临限制，这通常在用户请求发生时就已经定义好的。这些资源与云环境的其他用户共享，并根据需要在诸云服务器之间转移。云服务器将使用它所需的任何资源，但不得超过配置的资源数量。在许多公司中，用户被允许超额使用所配置的资源，但是成本要高得多，这一点与手机服务套餐的原理非常相似。

19. 没有办法核查第三方提供商是如何处理您的数据的

AeroFS公司首席执行官兼联合创始人Yuri Sagalov表示，当人们谈论公有云安全时，‘恶意内部人士’是最值得关注但却未引起充分重视的问题之一。如果将存储和计算工作外包给第三方服务供应商，您现在不但需要信任自己公司的员工，还需要信任您请来存储和处理数据的第三方提供商公司的员工。

Good Technology公司首席技术官Nicko van Someren补充道：

一些云服务提供商以企业不希望或者可能侵犯员工隐私的方式挖掘企业数据。确保云服务提供商能够为客户提供审计日志，以识别可能访问企业数据的人员，并且可能还需要证明他们已经进行了适当的背景调查和许可。

20. 不需要验证大牌云服务提供商

选择一家大牌云服务提供商看似合情合理，毕竟它们通常都拥有庞大的网络、遍布全球的数据中心以及极高的业内知名度和认可度。因此，人们也更很容易相信他们是正确的，觉得他们已经发展得太庞大了，不会倒闭。

Infinitely Virtual公司首席执行官兼创始人Adam Stern警告称，不要陷入“相信对方而懒得核实”这一误区。他说：

虽然这样的公司可能不会倒闭，但您的公司可能会倒闭。一次错误的服务中断或故障都可能会酿成无法挽回的损失。

Stern建议称，您需要全面了解您与提供商之间的支持关系。“如果一个本该安全的环境突然出现了漏洞，谁将为此负责，谁会提供实际的帮助？“

结论：克服云安全神话将帮助您降低安全风险

继续相信围绕云安全的种种神话，势必将会阻碍您的企业组织获取到云计算技术带来的真实好处。希望大家可以通过摒弃上述云安全神话，真正地做到运用云计算帮助企业实现业务增长，并最大限度地降低安全风险。