早在2011年我在旧金山举行的年度信息安全大会RSA Conference上做新闻报道时，问过与会人士：“安全领域炒得最火的话题是什么?”

大家无一例外地回答：“云计算”。

四年前，云计算可能炒作过头，不过如今它却是必不可少的业务驱动因素。遗憾的是，由于对有效使用的认识存在着混淆，导致业界出现了一系列误区，常常让许多CIO惴惴不安。

哪些是不断流传的云安全误区?哪些才是真相?下面是行业专家们要说的话。

1. 云天生就不安全。

Mimecast公司的网络安全专家Orlando Scott-Cowley认为：“一直流传甚广的最大误区就是，你放在云端的数据不安全。这年头外面仍有大批的服务器拥趸，他们声称数据放在自己的网络上来得更安全;他们在服务器机房里能切实地控制服务器，看着小小的指示灯闪烁，觉得很放心。”

Softchoice公司的技术服务经理Tim McKellips说：“对于不在自身控制范围之内的东西，人们自然往往觉得天生不太安全。我认为，微软等云服务提供商正在付出巨大的努力，以一种普通客户无法做到的方式确保云环境安全。”

众多专家提出了这个根深蒂固的误区，认为相比普通企业，云服务提供商拥有更强的专业性和更多的技术人员。

LiquidHub公司的合伙人兼全球Salesforce业务负责人Brennan Burkhart说：“云服务公司正开始大规模地投入，规模之大是任何一家企业组织所无法比拟的。”

Nimbix公司的首席技术官Leo Reiter补充说：“网络安全称得上是云服务公司的立足之本，而另外大多数企业组织通常并不将安全列为是核心竞争力之一。”

Whatisitwellington网站的作者兼IT顾问Ian Apperley另补充道：“云计算提升了贵企业的安全;如果贵企业自己来搞，根本负担不起因此需要的成本。这要归功于云的规模经济效应。”

2.云安全争论很简单。

ISG公司的首席顾问Scott Feuless认为：“最大的误区是，云安全问题实在太简单了。”

“云不大安全”这个观点没有考虑到决定部署云服务所涉及的许多变化因素，比如贵企业的规模、现有的内部专长、你的竞争对手有哪些、是否需要为每一次部署执行渗透测试以及贵企业的扩展需要。

没必要将云看作是只能二择其一的决定。Netskope公司的首席执行官兼创始人Sanjay Beri说：“这不是‘是或不’或者‘允许或禁止’的问题。正是由于无所不在的API(应用编程接口)，现在有一些工具和功能让IT人员能够在许多环境下确保云安全，满足用户的独特要求。”

3. 云端数据泄露事件更多。

这个误区再次让一个非常复杂的问题简单化了。据《2014年春天Alert Logic公司云安全报告》声称，内部服务提供商和云主机托管服务提供商(CHP)都发现从2012年到2013年，漏洞扫描的数量急剧增加，CHP的增幅略高一点。但是内部环境受攻击的风险要高得多，这取决于攻击类型，比如恶意软件和僵尸网络。

KEMP科技公司的产品线管理主管Jason Dover说：“对私有云基础设施和服务提供商网络而言，互联网威胁完全是同样大的风险。”

Huddle公司的总裁兼联合创始人Alastair Mitchell说：“如果实施了预防和检测攻击的正确的安全政策，攻击对云构成的威胁其实与对基础设施的其他任何部分构成的威胁一样小。”

ASG软件解决方案公司云部门产品管理副总裁Torsten Volk特别指出：“公有云提供商通常雇有一支技术过硬的安全专业团队，它们还拥有规模经济效应，有能力购置最先进的专业安全设备。它们的声誉维系于此。”

4. 对数据拥有物理控制意味着安全。

Splunk公司的Splunk Cloud主管Praveen Rangnath说：“云安全方面的最大误区是，控制是安全或者说是缺乏安全的基础。其实，可见性才是基础。”

NaviSite公司的总经理Sumeet Sabharwal补充说：“过去几个月诸多的重大安全事件足以表明，数据的物理位置不如访问及相关控制措施来得重要。”

CliQr公司的企业开发执行副总裁David Cope表示，相信数据位置误区让注意力偏离了较为常见的攻击途径，比如利用人性弱点和恶意软件。他提到，韦里逊公司(Verizon)的《2014年数据泄露调查报告》就是这一安全威胁趋势的佐证。

5. 保持云安全要困难得多。

Flux7公司的首席执行官Aater Suleman说：“我们在安全方面常常碰到的一大误区就是，在云端保持安全要比在企业内部保持安全来得困难。”

WatchGuard公司的安全战略和研究主管Corey Nachreiner特别指出：“最终，‘云’完全就是别人的网络。”

Suleman继续说：“相信这个误区导致许多公司不是以业务需求的名义危及安全，就是尽量让关键任务型应用系统不使用云。”

Denny Cherry & Associates Consulting公司老板兼首席顾问Denny Cherry强调，其实安全问题很相似。“SQL注入攻击(系统面临的最大安全风险)仍是云环境面临的一个问题，但可以用与内部环境一模一样的方法来解决。无论是面对云服务提供商还是面对内部系统，防火墙配置、渗透测试和VPN等都完全一样重要。”

6. 你可以在云应用程序周围竖起边界。

Cohesive Networks公司的首席执行官兼联合创始人Patrick Kerpan说：“由于应用程序遍布互联网，如果企业认为可以在自己的所有应用程序周围竖立起边界，那它准是疯了。”

Sookasa公司的首席执行官兼联合创始人Asaf Cidon补充道：“即便面对云，人们仍然从基于网络的安全这个角度来考虑问题。他们仍试图利用反向代理和防火墙来保护自己的网络、远离云。”

Kerpan继续说：“安全应该延伸到每一个企业应用程序。”

Fluke Networks公司的安全分析师Greg Rayburn也表示：“需要多层安全防线来对付黑客。根本不存在哪一种高招。”

CMI公司的解决方案副总裁Tim Cuny说：“边界因云而延伸，边界已经因移动技术和物联网而支离破碎。应当摈弃保护网络边界这个旧观念，将注意力放在一项全面的风险管理计划上，致力于从人员、流程和技术的角度来保护资产。”

7. 我不用云，所以得到了更好的保护。

尽管许多人可能试图自欺欺人地认为自己不用云，但我们都上网，都面临许多同样的威胁。

Harmony科技公司的总裁Peter Landau认为：“如果你的系统连接到互联网，那么你已经在云上。”

CloudCamp公司的联合创始人Dave Nielsen补充道：“最大的安全威胁就是将任何设备(笔记本电脑等)连接到公共互联网，或者将任何软件部署到公共互联网上。”

8. 可以遏制影子IT。

SysAid科技公司的首席执行官Sarah Lahav说：“无法避免员工自行购置云服务给安全带来的影响或后果。”

不过，虽然IT部门无法控制IT消费化，但是一旦出了任何技术问题，IT部门仍难逃其责。

Fluke Networks公司的首席技术官Bruce Kosbab说：“业务用户遇到应用程序性能糟糕的情况时(包括SaaS应用程序方面的性能问题)，IT部门就要担负责任，解决问题，尽管IT部门可能与所使用的基础设施毫无瓜葛。为了避免这种情况，IT和业务部门必须通力合作。”

CloudTweaks网站的资深作者Steve Prentice补充道，充分代表各部门的管理层(包括首席执行官)必须对云安全政策的设计、部署和维护负责。

9. 云安全完全是云服务提供商的责任。

RiskIO公司的战略副总裁Jeff M. Spivey说：“一个常见的误解是，云服务提供商自然而然满足客户数据和流程的所有安全要求。”

Avail Partners公司的执行合伙人Scott Maurice说：“就因为获得了针对云工作流程制定、实施和执行安全措施的工具，并不天生可以规避攻击或危害活动数量增加引起的业务风险。”

ASG公司的Volk补充说：“密码政策、软件补丁的发布管理、用户角色管理、人员安全培训和数据管理政策，这些都是客户需要担负的责任，起码与公有云提供商所做的安全工作一样重要。”

就在你加固内部安全的同时，别想当然地以为云服务提供商备份你的数据，万一出现安全泄密事件，它能够恢复数据。

Galeas Consulting公司的总裁Bruno Scap说：“实施将放在云端的数据备份到本地备份系统或另一家云服务提供商的备份解决方案，这一点大有帮助，也至关重要。此外，为了防止安全泄密，你可能需要从已知干净的备份来恢复数据。”

10. 你不需要管理云。

Oildex公司的软件工程副总裁Michael Weiss说：“许多人以为，由于云基础设施常常根本上就是一项托管服务，服务的安全同样受到管理。许多基于云的系统之所以无意间变得不安全，是因为客户不知道自己需要采取一些措施来确保安全，因为他们以为提供商做了内部安全人员传统上在默认情况下会做的工作。”

Zensar科技公司的助理副总裁兼云专家David Eichorn说：“任何数据中心需要什么样的安全机制，云安全就需要同样一套机制。云数据中心与任何数据中心一样具有弹性，不过要是相应的IT操作人员没有定期监控政策、流程和工具，安全漏洞就会出现。”

451研究公司的企业安全业务高级分析师Adrian Sanabria说：“要明白界线在哪里。谁对什么负责。通常而言，云服务提供商基本上要负责其网络上及其数据中心中的一切。然而，硬件层和低级网络层上面的一切则是客户需要负责的。”

[page]

11. 你可以忽视BYOD，因而来得更安全。

Acronis公司的云和托管服务销售高级副总裁John Zanni特别指出：“不支持、不实施BYOD(自带设备)政策并不意味着，企业不太可能遭到数据泄密事件。BYOD潮流已蔚然成风。”

Zanni建议部署移动内容管理(MCM)解决方案，因为保护数据将最终决定贵企业的安全和合规需求。

12. 云数据并不保存在移动设备上

Nubo公司的首席执行官Israel Lifshitz说：“我仍然听到有人在谈论云部署，好像使用这种服务意味着你并不将任何企业数据保存在移动设备上，因而可能让设备数据保护显得毫无实际意义。连接到设备的应用程序总是要缓存数据，而这些缓存数据存储在你员工的移动设备上。这些数据有可能泄漏，因而必须加以保护。”

13. 单租户系统比多租户系统来得安全。

Panopto公司的首席执行官兼联合创始人Eric Burns说：“相比单租户系统，多租户系统具有两个安全方面的好处。它们为内容提供了额外一层保护，另外确保安全补丁总是最新的。”

Burns特别指出，虽然云托管系统提供了基于硬件的边界安全，但是选择多租户解决方案的那些用户获得了第三层保护：逻辑内容隔离，这层保护旨在有助于预防边界内部攻击。

Burns解释：“就好比公寓大楼里面的租户使用一把钥匙进入大楼，使用另一把钥匙进入自己所在的公寓，多租户系统既需要边界安全，又需要‘公寓级’安全，这点很独特。”

这对多租户系统来说是一层必不可少的保护。

弗雷斯特研究公司的副总裁兼首席分析师John Rymer说：“多租户服务始终确保所有资产的安全，因为主边界里面的那些用户都是不同的客户。”

此外，Burns说：“多租户系统确保同时为所有客户发布了软件更新版(包括安全补丁)。换成单租户系统，就需要软件开发商逐一更新每个客户的虚拟机。”

14. 多租户系统比单租户系统来得安全。

云安全领域没有绝对的东西。以为多租户系统比单租户系统来得安全也是个误区。

对一些企业组织来说，多租户环境下出现的强行升级和维护窗口可能是不利因素。

Bomgar公司的解决方案技术高级主管Boatner Blankenstein说：“确保你的变更管理需求能得到满足，确保你有时间来规划升级，这对多租户系统而言常常是个问题。单租户为计划停机维护增添了灵活性，而不影响其他用户。”

15. 你放在云端的数据归你掌控。

Legal Workspace公司的首席执行官Joe Kelly提醒道：“你上传了数据后，你的数据并不总是你的。如果数据存放在另一个国家，你可能还要考虑棘手的跨境管辖问题。许多网站保留了确定数据是否违规或者是否侵犯版权或知识产权法的权利。另一些网站兜售基于你内容的广告――这意味着你的信息可能不如想象的来得那么私密。”

16. 云服务提供商会不断管理认证和合规。

Virtustream公司的联合创始人兼解决方案架构高级副总裁Sean Jennings解释：“许多云服务商将平台的安全状况过于简单化了，把谈话的主题转向合规和第三方授予的认证上。安全认证只是体现了当下的云平台及支撑性流程……刚获得认证，结果就过时了，这完全有可能。”

Silicon Mechanics公司的首席运营官Dan Chow说：“注意力未必要放在实施合规政策上，而是应该放在满足合规的审计和报告上。如果监管标准发生变化，知道哪里存在不足，这对于满足最新要求，并确保公司合规、遵守最新标准来说很重要。”

17. 云安全是一种产品或服务。

Galeas Consulting公司的Scap说：“安全不是一种产品或服务，而是一个过程。根据某一个应用程序或服务的用途对你的网络进行分段，部署防火墙，监控日志、系统和网络活动，制定并遵守安全程序和政策，确定谁可以访问数据，还要有万一出现安全泄密事件，可以遵循的方案。”

18. 云服务器有无穷无尽的资源。

你的云服务器似乎有无穷无尽的内存和处理能力，但是消耗不必要的过多资源可能会导致性能问题、费用急剧上升。

TAG-MC公司的总裁Abdul Jaludi解释：“云服务器在处理器、内存和输入/输出方面面临限制，用户请求时通常决定了这样。这些资源与云环境的其他用户共享，根据需要在诸云服务器之间转移。云服务器使用所需的任何资源，但不得超过配置的资源数量。在许多公司，允许用户超额使用所配置的资源，但是成本要高得多，这非常像手机服务套餐。”

19. 没法核查第三方提供商其实在如何处理你的数据。

AeroFS公司的首席执行官兼联合创始人Yuri Sagalov说：“人们在谈论公有云安全时，居心叵测的内部人员是最值得关注、未引起充分重视的问题之一。如果将存储和计算这一块外包给第三方提供商，你现在不但需要信任自己的员工，还需要信任请来存储和处理数据的第三方提供商的员工。”

Good Technology公司的首席技术官Nicko van Someren补充道：“一些云服务提供商以企业不希望或者可能侵犯员工隐私的方式挖掘企业数据。确保云服务提供商能够为客户提供审计日志，查明可能访问企业数据的每个人，可能还要证明他们通过了必要的背景调查和许可。”

20. 大牌云服务提供商不需要核实。

选择一家大牌云服务提供商似乎合情合理，毕竟它们通常拥有庞大的网络、遍布全球的数据中心和极高的业内知名度。很容易相信它们不犯错。它们太庞大了，不会倒闭。

Infinitely Virtual公司的首席执行官兼创始人Adam Stern告诫，别犯“相信对方而懒得核实”这个毛病。“虽然对方公司不会倒闭，但你公司可能会倒闭。不合时宜的停运或故障可能会酿成重大危害。”

Stern劝你要全面了解你与提供商之间的支持关系。“如果本该安全的环境突然出现了漏洞，谁来处理投诉、谁来实际提供帮助?”

结论：消除云误区让你可以减小风险

Avail Partners公司的Maurice认为：“当中央情报局(CIA)和纳斯达克(NASDAQ)都开始将工作负载部署到云上，能不能确保云的安全这个争论就不复存在了。”

继续相信云方面的种种误区只会阻碍贵企业获得云的诸多好处。

弗雷斯特研究公司的高级分析师Lauren Nelson解释：“公有云实际上是为全新的项目或投资尽量减小财务风险的机会。”