企業在部署雲運算方案時,保安往往是實行與否之首要考量,然而卻往往忽略了不斷增長的儲存,亦同樣潛藏保安問題。
Symantec較早前透過第三方市場研究調查公司,針對企業部署雲運算進行統計,結果顯示百分之七十九受訪企業,均已部署如客戶關係管理、網頁電郵等商業應用的雲運算服務,可說是目前最普及之企業雲端應用;其次為點對點(peer-to-peer,P2P)分享應用,採用率達百分之五十八;此外,約五成受訪企業均有採用社交媒體應用,可見社交媒體網絡近年漸成氣候,非但個人用戶廣泛使用,亦漸為企業所接納。其餘較多企業使用的雲運算服務應用包括身份管理、交易付費及搜尋等。
至於平台及基建雲運算服務方面,目前最廣泛採用的首推雲端儲存服務,約百分之五十六受訪企業均已部署;如虛擬桌面等電腦雲運算服務,則以百分之四十三僅次其後,而網絡系統則僅獲百分之十四受訪企業部署。就此調查發現,Symantec香港區系統工程經理李輝表示毫不意外,「網頁電郵乃企業的重要通訊工具之一,愈來愈多中小企使用雲運算服務如Gmail、Google Apps、Google Docs等。這些電郵及檔案共享服務,說穿了背後就是個大型的儲存庫,然而中小企往往未有留意類似服務的條款中,一般註明所有網上內容均可供搜尋。也就是說,你的電郵內容,甚至客戶資料等敏感數據,隨時會被未經授權訪客存取。」
李輝續指,少於百分之十企業有針對儲存內容制定規章或保安指引,以規管僱員哪些內容屬敏感料資,不應儲存至公共網雲。
「普遍企業未有為僱員提供培訓,亦未有正視哪些為敏感數據,不宜儲存至公共網雲。雲運算服務雖可大幅降低內部的固定成本,但大部分企業均欠缺評審機制,缺乏評估雲運算服務供應商本身的保安管理水平,一切只仰賴供應商信譽,對公司敏感數據毫無保障。」
李輝形容,目前的公共網雲服務,保安責任一般落在終端使用者或業務經理身上,IT部門的參與反而十分有限。問題是公共網雲服務一般只提供劃一服務水平,而大型企業不同部門,如會計部、營銷部、人事部及管理層之間,或需不同服務水平以切合他們日常業務範疇所需。雖說網雲服務的優勢之一,正是可隨時隨地,以任何能連接網絡的裝置存取應用或資料,但同時亦增加了敏感數據外泄的風險。畢竟用戶名稱及密碼容易破解,保障度不足。就此,李輝表示若加入Symantec旗下的VeriSign可提供軟性密鑰,以雙因素認證加強保安防外泄。
另一挑戰是雲運算服務往往將一台實體儲存系統,分割為十台,甚至上百台虛擬儲存系統,管理複雜度大幅提升,然而IT人手卻不變。李輝透露,Symantec FileStore將於今年下半年度正式推出Endpoint Protection功能,屆時即可輕易管理、配置及確保後端儲存的安全。
沒有留言:
發佈留言