HyperStratus咨詢公司首席執(zhí)行官伯納德·戈爾登（Bernard Golden）撰文指出，一個接一個的調查表明，對于公有云計算，安全是潛在用戶最擔心的問題。例如，2010年4月的一項調查指出，45%的以上的受訪者認為云計算帶來的風險超過了收益。CA和Ponemon Institute進行的一項調查也發(fā)現了用戶有此類擔心。但是，他們還發(fā)現，盡管用戶存在這種疑問，云應用還是在部署著。類似調查和結果的持續(xù)發(fā)布表明人們對云計算安全的不信任繼續(xù)存在著。

不可否認，大多數對云計算安全的擔心都與公有云計算有關。全球IT從業(yè)者不斷地對使用一個公有云服務提供商提出同樣的問題。例如，戈爾登近期去了臺灣并且在臺灣云SIG會議上發(fā)表了演講。有250人參加了這個會議。正如預料的那樣，人們向他提出的第一個問題是“公有云計算環(huán)境足夠安全嗎，我是否應該使用私有云以避免安全問題？”所有的人似乎都認為公有云服務提供商是不可信賴的。

然而，把云安全的討論歸結為“公有云不安全，私有云安全”的公式似乎過于簡單化。簡單地說，這個觀點存在兩個大謊言（或者說是兩個基本的誤會）。主要原因是這種新的計算模式迫使安全產品和方法發(fā)生了巨大變化。

第一個云安全謊言：私有云很安全

第一個謊言是私有云是安全的。這個結論的依據僅僅是私有云的定義：私有云是在企業(yè)自己的數據中心邊界范圍內部署的。這個誤解產生于這樣一個事實：云計算包含與傳統(tǒng)的計算不同的兩個關鍵區(qū)別：虛擬化和動態(tài)性。

第一個區(qū)別是，云計算的技術基礎建立在一個應用的管理程序的基礎上。管理程序能夠把計算（及其相關的安全威脅）與傳統(tǒng)的安全工具隔離開，檢查網絡通訊中不適當的或者惡意的數據包。由于在同一臺服務器中的虛擬機能夠完全通過管理程序中的通信進行溝通，數據包能夠從一個虛擬機發(fā)送到另一個虛擬機，不必經過物理網絡。而一般安裝的安全設備通常會在物理網絡檢查通訊流量。

至關重要的是，這意味著如果一個虛擬機被攻破，它能夠把危險的通信發(fā)送到另一個虛擬機，傳統(tǒng)的防護措施甚至都不會察覺。換句話說，一個不安全的應用程序能夠造成對其他虛擬機的攻擊，用戶采用的安全措施對此卻無能為力。僅僅因為一個用戶的應用程序位于私有云并不能確保這個應用程序不會出現安全問題。

當然，人們也許會指出，這個問題是與虛擬化一起出現的，沒有涉及到云計算的任何方面。這個觀點是正確的。云計算代表了虛擬化與自動化的結合。它是導致私有云出現另一個安全缺陷的第二個因素。

云計算應用程序得益于自動化以實現靈活性和彈性，能夠通過快速遷移虛擬機和啟動額外的虛擬機來管理不斷變化的流量負載類型，并對不斷變化的應用狀況做出回應。這意味著新的實例在幾分鐘之內就可以上線，不需要任何人工干預。這也意味著任何必要的軟件安裝或者配置也必須實現自動化。這樣，當新的實例加入現有的應用程序池的時候，它能夠立即作為一個資源被其他應用使用。

同樣，它還意味著任何必須的安全軟件必須自動化地進行安裝和配置，不能有人工干預。遺憾的是，目前許多機構還必須依靠安全人員或者系統(tǒng)管理員人工安裝和配置必要的安全組件，而且這通常是作為這臺機器的其它軟件組件安裝和配置完畢之后的第二個步驟。

換句話說，許多機構在安全措施實踐與云要求的現實方面是不匹配的�，F在可以認為私有云本身是安全的這個觀點是不正確的。在用戶的安全和基礎設施實踐與自動化的實例一致之前，肯定會產生安全漏洞。

而且，使它們一致是非常重要的。否則，可能出現這種情況：用戶的應用程序自動化超過了安全實踐的應對能力。這不是一個好現象。毫無疑問，人們不想面對為什么好像安全的私有云最終還是有安全漏洞，因為云計算的自動化特征還沒有擴展到軟件基礎設施的所有方面。

因此，關于云計算的第一個大謊言的結果是：私有云本身就是不安全的。(責任編輯：admin)