随感 云计算安全的是与非

今天看到同事写的一篇文章《一场关于数据中心标准的中立访谈》，很有感触，也来絮叨两句。

文章中嘉宾TUViT亚太区业务总监邓永基提到，相比于国内数据中心、IDC机房高调的建设和宣传，国外数据中心更多地被披上了神秘的色彩，这不仅仅包括它们大多建立在偏远的地方，也包括它们很少对外宣传。虽然最近Google公开了其数据中心的少量信息，Facebook公开了其数据中心的结构图和重要文档，这些也曾被一些人妄臆猜测未来数据中心的开源性。但这仅仅是个别，而且谁又能保证其公布的地理信息是准确的呢，谁又知道其主数据中心与备份数据中心的区别和地理位置呢，没准儿正是障眼法呢！

当然，让外人不知“靶子”在哪及靶心何在，从而保证数据中心的物理安全，这是从国家战略、国家整体信息安全层面考虑的。其实除了这个大的层面，笔者认为，国外数据中心之所以建在“鸟不拉屎”的地方，还有一个不容忽视的益处，那就是可以有效利用这些地区得天独厚的自然条件，比如风能、海水、温度条件等，从而大规模的降低能耗节约成本。

其实在这之外，还有存在一个环境污染的问题。很多城市不论是某些领导的政绩工程，还是建设数字城市的需要，就选择把数据中心就近建设在自己所在的城市。一则是运营维护方便，二来也满足了“城市私有云”的安全心理。这并无可厚非，但从节能减排塑造绿色城市（有些城市的天然条件并不适合建立云数据中心）和国家云计算战略的长远发展来看，并不是一个好的做法。

前段时间，发现一朋友所在的一信息化资讯网站多日无法打开。一问，才知他们的网站被黑了，结果是这哥们带病赶忙跑到托管他们业务的中国电信在山西的机房一探究竟。回来，我们还开玩笑的说，这减肥招儿不错，人都瘦了一圈。谁知，他却更正道，“都是辐射的，半米厚的水泥墙才能吸收掉20%的辐射量。辐射了这么久，可不就瘦了么。”玩笑归玩笑。如果未来机房更多的出现在城区，无疑是在给城市人民“添堵”的同时添更多的“辐射”。

国家安全战略作为普通公众我们可以不用太过费神，数据中心的辐射我们也可以忽略不计，但是用户却不能忽略甚至抹煞掉曾经云计算的事故给自己带来的伤痛及无法弥补的损失。

“云安全是大家都特别关心的一个话题，我们每次跟企业客户沟通的时候，他们都问我这个问题，”用友公司CTO薛峰坦言。事实上，不止用友，应该可以说所有的云服务提供商都会被问到这个问题。安全之所以成为云应用的头号阻碍天敌，正是源于“一朝被蛇咬，十年怕井绳”的心理作怪。即使这个“蛇”还没“咬”到自己。

郭沫若曾经说过，“平生观戏，都是以悲剧为最上乘。”虽然这是文学作品的情愫，但生活中确实也是“悲”比“喜”的被记忆的深度为强烈。因此，由于涉及到企业业务甚至是核心业务，用户对于这些云计算的事故总是很“揪心”。甚至有人形象地称之为“云震”，因为对企业来说，确实不亚于一场地震。我们可以想到的是谷歌日历的多次长时间的无法登陆（虽然是免费的，但是很影响用户的信心）、索尼的超1亿游戏账户的数据泄漏丢失，亚马逊的不明原因宕机及系统升级造成的无法访问，还有几天前的腾讯官网近一小时无法打开（疑域名解析服务器遭攻击所致），凡此种种，从云计算的理念被提出以来，类似的事件已有很多听闻。想必，这都在一点点的侵蚀着我们本就没有安全感的内心。

“从现在来看，云的安全问题在技术上，还是比较有保障的。随着这么多年互联网的发展，从数据传输上，我们知道有一些加密传输的模式。在云端像防止攻击，还有数据隔离，以及云端身份识别等各种各样的技术，从理论上讲这块是没有什么特别不安全的地方的”薛峰说。

但是，为什么会出现安全方面的事件，薛峰也总结了一下几个方面的原因。一个是成本方面的考虑，安全等级不同，成本也差距非常大。数据安全有2个层面的含义，一是数据存在上面不要丢掉，二是数据不要被别人偷走。数据不要丢掉有不同的等级和成本，最安全的就是五星级的数据安全，需要在不同的地震带上做备份。数据不要被偷掉的安全策略也有等级，有些厂商提供一些服务的时候，会考虑到一个合理的成本，使用一个合理的价格，所以不一定用到最彻底的安全手段。第二个原因可能就是在一些操作、执行过程中的瑕疵，也会出现一些问题。第三个是用户心理上的问题，用户觉得数据没有放在身边安全。

无论是是物理安全，还是数据泄露，现阶段都还有很多功课要做。如果没有一个统一的服务约束机制和行业准则，一切也将都是空谈。上次和一个做数据中心托管业务的朋友聊天，他很得意地给我讲他如何从不情愿或者拖延交付服务费用的客户那里收取服务费，具体做法就是，在多次催款未果的情况下，突然把服务器的插头拔了。结果是，客户乖乖地开了支票，然后三个月后，这家服务商也彻底失去了这个客户。当然，不是所有的托管服务提供商都这么激进，也还有很多“好脾气”的托管服务提供商。比如艾旺的一部分SaaS服务。