＊雲端運算安全趨勢＊ 參加Gartner Data Center Conference 資料中心大會感想

作者： 趨勢科技資料外洩防護小組資深協理Todd Thiemann 

我參加了 12 月份在美國拉斯維加斯舉行的 Gartner Data Center Conference (資料中心大會)，希望透過這項活的觀察深入了解企業 IT 專業人員對於虛擬化與雲端運算的看法。 雖然我個人並不喜歡拉斯維加斯，但我還是逛了一下彈珠台迷必到的旅遊勝地：Pinball Hall of Fame (彈珠台名人堂)。從資訊安全的角度來看，Gartner 分析師和與會人員對於雲端運算的態度給了我幾點啟示。

虛擬化正當道：VMware 的課程人數爆滿，大多數關於虛擬化與儲存交換網路的課程也是人潮洶湧。有關虛擬化安全的課程，倒提到了一個重點，那就是：負責應用程式與儲存的 IT 人員與負責資訊安全的 IT 人員彼此之間缺乏聯繫。虛擬化的列車目前正全速向前邁進，但資訊安全團隊卻在後面苦苦追趕，努力研究虛擬化可能帶來的安全問題。舊的邊界安全模型正受到嚴重挑戰，因為透過 VMotion 的技術，應用程式在 VMware 環境當中可以自由移動 (小心別讓一些敏感的應用程式意外掉入 DMZ 區域)。對資訊安全的影響：您最好小心架構您的虛擬化資料中心，並且考慮採用 VLAN 以及分散式虛擬交換器 (Distributed Virtual Switch)。

私人雲端運算是企業的短期因應之道：執行長們的要求是：「利用雲端來降低成本」，而資訊長們的回應則是：「是的，我們已經在做了，那就是所謂的私人雲端」。在 Gartner 這次的活動當中，廠商與 Gartner 分析師的重點大都圍繞在私人雲端運算。對於所謂的私人雲端，不論行銷人員或是正在利用雲端運算概念的企業 IT 人員，每一個人似乎都自己的一套定義。某些正統派雲端人士或許對這樣的情況感到不安，但企業 IT 與廠商正紛紛透過「私人雲端」的概念來趕搭雲端運算的列車。我在 Gartner Data Center Conference 大會上看到的整體趨勢是積極虛擬化的資料中心，不過，如果您跟人家說：「我們已經擁有自己的私人雲端」，那會讓您的企業聽起來似乎更先進一點。

儲存公共雲端：SaaS/PaaS/IaaS 最酷的應用程式，是 General Electric 公司的 Matthew Merchant (CTO) 在其名為「Cloud Storage @ GE」(GE 的雲端儲存) 的演講所提到的。GE 內部開發了一個透過公共雲端儲存 (例如 Amazon AWS) 進行備份的應用程式。公共雲端讓他們減少了 40% 至 60% 的備份成本，聽起來似乎很酷。對資訊安全的影響：記得將資料加密以便能夠符合法規遵循要求。

企業韌性與災難復原的公共雲端：Gartner 的 John Morency 開了一門課叫做「Building Resiliency via Colocation and the Cloud」(透過比鄰與雲端建立韌性)，討論有關使用公共雲端做為「熱備用」(warm spare) 或「冷備用」(cold spare) 災難復原 (DR) 的備援移轉據點。Morency 有一段發人深省的話：「到了 2014 年，有 15% 的大型企業將合併使用私人基礎架構與公共雲端服務來提升復原能力與企業永續性。」DR 是非常適合公共雲端運算的一項應用，擁有降低成本、提高彈性的效益。對資訊安全的影響：企業應該考慮採用像 趨勢科技 Deep Security 7.0這樣的解決方案來保護雲端伺服器 (抱歉，此處不免老王賣瓜一番)。

測試與開發雲端：過去我曾經聽過 Gartner 分析師說，雲端是一個測試和開發應用程式很好的平台，但是這些測試和開發環境所使用的卻是真實且必須保護的資料。當我與趨勢科技的資訊安全客戶討論到雲端時，他們一慣的答案都是：「我們沒有在用」。但是若問到是否有某些應用程式開發人員會直接上 Amazon EC2 時，這些資訊安全人員就會勉為其難地點頭。對資訊安全的影響：位於雲端的測試與開發環境，如果使用到真實的資料，或許應該採取一些保護措施。

雲端內的資訊：Cameron Haight 和 Milind Govekar 的演講「Cloud Computing Management — Making Sure Mountains Aren’t Hiding in the Mist」(雲端運算管理：確保雲霧當中沒有隱藏的高山) 當中有一段話讓我深有同感：「雲端運算並非 IT 的喪鐘；是實上，這是一個讓 IT 服務供應角色重新振作的機會，只要適當地更新流程、工具與組織結構即可。」這一點在資訊安全領域尤其如此，因為除了企業本身以外，沒有人會小心看管企業的重要資產。

＠原文來源：Gartner 資料中心大會雲端安全洞察 (Cloud Security Insights from Gartner Data Center Conference) （趨勢科技 "雲端運算與安全趨勢"部落格）

＠雲端運算相關文章：

* 雲端運算安全趨勢*網路犯罪份子走入雲端？

雲端運算將帶來新的資訊安全挑戰

*雲端運算安全趨勢* PaaS 和它的陰暗面

[何謂雲端運算？」雲端的定義 (Defining the Cloud)

SaaS、PaaS、IaaS等雲端運算模式，是把雞蛋放在同一個籃子裏嗎？(附文茜財經周報專訪張明正談趨勢科技投入雲端運算影片)

[ 年度回顧與展望 」2010年＝ 雲端殭屍年？

*雲端趨勢*Google Chrome 作業系統能否解決我們的安全問題？

*雲端趨勢* 當資料在雲裏被攻破，誰來收拾殘局？

*雲端趨勢* 雲端運算標準，夢想vs. 現實

* 雲端趨勢 * 你相信他們說的“相信我們”嗎？談私人資料在公共雲端的安全

* 雲端趨勢* DDoS 和雲端運算：沮喪，但卻是真的

『雲端運算研討會』:趨勢科技張明正談雲端運算(影音）-1

趨勢科技 2009 資安威脅報告與 2010 預測

@欲瞭解趨勢科技 TrendMicro 主動式雲端截毒服務 SPN( Smart Protection Network)的效能，  請上趨勢科技 相關中文網站。

＠欲第一手取得中英文版最新網路安全資安訊息，請找崔嘻一起噗浪
歡迎 加入趨勢科技Facebook粉絲團