《《云深不知处—XXXX企业上云安全策略指南》.docx》由会员分享,可在线阅读,更多相关《《云深不知处—XXXX企业上云安全策略指南》.docx(83页珍藏版)》请在三一办公上搜索。
1、云深不知处2016企业上云安全策略指南2016年1月互联网实验室观点价值与安全是企业做出上云决策的两个支点。面对上云决策,企业需要在价值需求与安全需求之间形成最适合于企业自身发展战略、业务特性的决策天平。在对价值支点的判断上,云是大势所趋已经深入人心。企业可以通过对内部IT成本的核算和业务发展情况等内部信息对上云的价值做出有效评估。企业如果能将云的诸多优点引入生产、运营、服务环节之中,就能够在创造新的商业模式、持续创新、降低成本等方面释放巨大的价值潜能。例如:有了云,用户不再需要购买、建立、安装并运行昂贵的计算机硬件,而通过无处不在的可用有线或无线网络,就可简便的获取计算机资源,正如获取其他公
2、共资源一样;云还具备弹性,用户可以快速并且经济的增加或者减少云服务;云共享的计算机资源可以提供客观的经济效益,并且可以减少成本、加快创新;云提供的服务已经存在,可以在需要时按需分配,按需扩容;用户可以快速并且经济地计算自身云服务的吞吐量,并据此进行相应调整。而在对安全支点的判断上,无法排解的安全忧虑导致企业上云迟疑甚至可能引发决策反复。企业在将转移IT解决方案到云计算的同时,由于企业客户基础设施和应用程序的外部化使得企业的完全控制权发生变化,安全保障的不透明性和不可控性使得上云企业对云服务有效存储和安全共享等方面存在一定的安全风险顾虑。在调研中我们发现,企业对于上云后的数据安全的担忧基本上覆盖
3、了云端数据安全的整个生命链条:例如数据传输和存储是否安全;数据访问控制权限是否可控;数据是否会被入侵、被攻击;漏洞或系统不稳定是否造成企业用户的业务中断、数据被盗、被篡改?这些现实情况使得中国企业上云之路呈现出漫长曲折的形态。以基于价值与安全感知的企业云决策象限来谋求破题之道。在项目初期,我们对有上云需求的企业进行初步接触时发现,企业或者无限期地延缓上云行动;或者在上云后出现决策反复;或者认为云有优点,但也有不确定风险,需要谨慎上云;甚至或者即使经在用云,仍对安全抱有较大不信任。因此,我们在报告当中以企业对云价值的释放是否清晰,企业对安全的感知、需求是否明确为维度描绘了如下企业云决策象限。安全
4、需求的模糊性会加重决策天平的不稳定性,企业所面临的难以权衡取舍的决策困境需要破解。面对安全问题,企业要基于对外部信息结合自身IT能力和需求进行判断,这无疑是难度更大的,尤其是难以形成量化结论。难以言喻的IT功能外部产生的失控感又大大加重了上云决策中安全需求的主观法码。我们将基于区分企业对云的安全感知状态来拨开企业云安全感知迷雾。企业对云的安全感知状态大致可以区分为两类,无论是哪一种状态,都会成为企业做出客观、理性的云决策的阻碍因素。第一,企业存在安全认知盲区会降低在做出决策时对云服务商安全能力的审视敏感性。企业是否具备了客观审视云的风险特征的足够信息支撑?企业是否有充足的云安全认知能够在成本考
5、量的基础上最大程度防御安全风险,又能够在一旦安全事故发生后的如何最大化的降低损失?如果企业知晓的安全信息不够全面,就会降低对云服务商安全能力的审视敏感性,影响业务在云中的实际运行安全。第二,控制权迁移引发的不安全感可能错估上云时机。多家研究机构的统计调研数据均证实企业对云服务安全的担忧是全球范围内面临的上云障碍。如果企业在带有不安全感的心理状态下来审视云服务商,有可能因为主观的不信任而影响了客观、理性的对上云之路,以及云合作伙伴基于安全视角的审视与决策,就会错估享受云效益的时机。云安全问题的破题需要映射到云服务商的安全实践表现,我们建立云安全能力指标体系协助企业做出最佳决策。我们提出企业进行云
6、安全审视的两条基本原则,第一,企业寻找领先的云,思考企业与云的最佳结合状态;第二,企业清晰地了解云服务商的安全机制与安全责任。依托于上述两个基本原则,本报告从泛安全的信任基础、物理资源基础设施的安全部署能力、内部人员的管理流程、应急响应能力、数据安全保护能力、合规性表现六个方面构建了19个细化指标的云安全能力指标体系,对云服务商的安全实践进行比较。本报告通过云服务商安全能力指标体系的构建,帮助企业构建充足的关于云服务商安全能力的研判信息,通过对比云服务商来了解上云需关注的安全环节,即可对上云安全做到心中有数,应对有术。从而在上云决策中,提升基于安全视角的理性、客观性,优化的最佳决策。目录互联网
7、实验室观点2目录5研究方法:基于公开信息的比较研究7一、构建云安全能力指标体系91.1 拨开企业云安全感知迷雾91.2 提出企业进行云安全审视的基本原则101.3 云安全能力指标体系构建11二、泛安全的信任指标设计与对比142.1 市场表现补偿控制权丧失感,企业考察云服务商“家底”142.2 计算能力不可见,国内通用比较标准有待明确162.3 安全理念折射出安全能力,承诺与实践匹配方式尚不成熟162.4 规制第三方合作安全伙伴的能力,提升多选择服务的安全性162.5 对比结果17三、物理基础设施部署指标设计与对比253.1企业云之旅从物理安全开始253.2物理基础设施部署指标体系设计253.3
8、对比结果28四、内部人员管理指标设计与对比304.1完善的人员管理流程能够将恶意人员风险最小化304.2内部人员管理指标体系设计304.3对比结果32五、事故响应指标设计与对比345.1云服务商好比房地产的物业345.2明确云给事故响应带来的特殊性,有助于业务更快的恢复345.3事故响应指标体系设计345.3对比结果37六、数据安全保护指标设计与对比396.1所有权和控制权转移,促使客户依赖高标准安全控制手段396.2对数据安全保障技术和能力的评估406.3对比结果43七、合规性表现指标设计与对比457.1 云服务商的合规性认证是给客户企业安全保障的定心丸457.2 合规性指标主要分为安全认证
9、、透明审计和法律遵从457.3 国内外云服务行业合规性认证存在差异,国外优势明显497.4 对比结果50结论60后记:共筑云安全更佳状态需要各方参与63常见问题65云服务商信息来源说明67致谢69研究方法:基于公开信息的比较研究对信息的有效理解能够提升决策的自信。本次研究同样面临对信息的理解困境,研究设计是基于破解面临的多源、不一致和不对称等困境而形成的。我们认为本次项目首要目标是构建中国企业对云安全的评价认知和指标体系,在这问题下,我们需要解决什么是安全?以及哪些信息能够支撑安全感受?并最终通过可以获得的信息建立一个解答模式。首先,利用权威报告建立对云安全的基础认知和分析框架。在研究中我们参
10、考了权威机构发布的对云计算企业评估报告,已经针对云安全领域的比较体系。其中较为重要的包括:美国高技术市场研究公司Forrester云安全指标体系,技术咨询研究机构Gartner对云安全市场的分析报告,欧洲网络与信息安全局(ENISA)关于云计算的研究报告中对于云风险情景的描述等。基于以上资料,我们初步建立了对云安全的基本概念和评价体系,以便于在后续研究中形成一个具有较强一致性的比较逻辑和对话平台。其次,通过调查中国企业发现本土需求与经典理论之间的差异。我们希望通过对中国企业IT部门高管、技术负责人调查,了解中国企业对上云决策理解,对云安全的态度。在获得这些信息之外,我们还了解到部分企业存在与常
11、见云理论不同的感性认知,在此基础上我们对初期比较框架做了调整和细化。本次调查为了保证调查展现出的观点的多样性,样本企业即包括互联网金融、移动应用开发、IT系统开发等IT产业,也包括城市基础设施建设运营、加工设备制造、电子仪器制造等传统行业。在上云情况上,这些企业或已经上云,或明确表现出上云的意愿,访问对象主要为企业CTO、CIO或技术总监等相关职位。再次,通过访问中国云安全专家修正和提升比较框架。就资料和调查中存在的问题,我们对国内高校、研究机构中信息化、信息安全、云计算等领域专家,以及其他在该领域长期从事一线工作的专业人士该进行了专题访问。专家基于所在专业领域,对中国云计算发展状况及特殊性,
12、企业上云安全的整体性困惑和解决方法等问题做出了解答。最后,使用公开信息进行以安全为核心的比较实践。针对最终形成的指标体系,研究团队通过公开渠道获取具有统一标准的信息进行比较操作。这些信息渠道包括:1. 云服务商企业自行发布的白皮书;2. 云服务商企业自身对外公开的业务动态新闻;3. 权威机构发布的研究报告;4. 对部分不明确信息,我们通过企业公开的客服电话进行了询问确认。使用公开信息源主要考虑到本次研究行为建立一个能够为上云企业提供参考的比较方法,因此在整体研究方法上都充分考虑了信息的可获得性。一、构建云安全能力指标体系上云路途的一个阻碍是企业对云安全的担忧,与企业的近距离地交流访谈中,我们发
13、现这种担忧因人而异,对企业迈入云端的影响程度也不一样,存在不同的安全感知状态。有的企业认为:云有优点,但也有不确定风险,谨慎上云;有的企业认为云很好,云即代表安全;也有企业认为云的安全没有切实可行的效果衡量。无论是哪种状态,抛开企业的行业类型、组织规模、技术实力这些客观事实,企业对云安全的感知状态可以按照描述为以下几点:企业对云安全有偏差的认知;不知何解的疑问;由于对云的认识还不够全面存在没有想到的安全问题等。由于这种因人而异的安全感知的差异性,我们将本报告首先站在企业的角度来剖析几种企业对云安全的感知状态,再构建起云安全能力体系,对比主要云服务提供商(云服务商)安全实践现状的基础上,将各家云
14、服务商的关键安全能力解释转化为企业、公众可理解的信息,以期帮助企业构建相对系统、全面的云安全知识体系。1.1 拨开企业云安全感知迷雾企业对云的安全感知状态大致可以区分为两类,存在安全感知盲区和由于控制权的迁移引发的不安全感,无论是哪一种状态,都会成为企业做出客观、理性的云决策的阻碍因素。1.1.1 安全感知盲区会降低在决策时对云服务商安全能力的审视敏感性第一种情况,由于云自身的资源池化等特征会释放出相对于传统IT部署活动的新风险,例如云规模化的资源集中在产生效益的同时,也会因目标更大而遭受黑客的攻击,从而给企业自身带来风险。企业是否具备了客观审视云的风险特征的足够信息支撑?第二种情况,由于没有
15、绝对的安全状态,安全风险不能百分百杜绝,企业在部署安全防护时,还需要同时考虑成本这一现实问题。最佳安全保障体系需要既能够在企业成本考量的基础上最大程度防御安全风险,又能够在一旦安全事故发生后如何最大化的降低损失。企业的云安全状态不能完全寄托于云服务提供商,如果企业不能够充分了解云服务商在数据安全、服务可靠性、内部人员管理、访问控制与授权等一系列方面的安全能力部署信息,将会影响在成本考量之下的安全保障体系部署,一旦安全事故发生后,企业自身也不能依据充分的信息快速调拨云服务商的安全解决方案做出及时预案。如果企业知晓的安全信息不够全面,就会降低对云服务商安全能力的审视敏感性,影响业务在云中的实际运行
16、安全。1.1.2 控制权迁移引发的不安全感可能错估上云时机组织不愿意采用云服务,缺乏安全感是其中的一个,甚至对某些企业来说安全甚至是上云的头号障碍。随着开发验证测试,数据存储备份容灾,关键业务应用,数据中心等一系列的企业IT活动阶段性地上云,原来在企业完全掌控的IT部署活动由云服务商承担了一部分的职能。例如基础设施和应用程序的外部化,会给企业自身带来的控制权转移而引发的风险担忧。企业对云服务商提供的安全保障能力本身,以及是否在合规性、数据保护、控制内外部恶意攻击等方面具备足够透明性的顾虑也会油然而生。我们要承认的是,不安全感本身是一种带有主观性的心理活动。如果企业在带有不安全感的心理状态下来审
17、视云服务商,有可能因为主观的不信任而影响了客观、理性的对上云之路,以及云合作伙伴基于安全视角的审视与决策,就会错估享受云效益的时机。1.2 提出企业进行云安全审视的基本原则第一,寻找领先的云,思考企业与云的最佳关系状态。在简单地剖析了企业上云之路的安全心理状态之后,我们认为,面对企业的不安全感的心理,如果要突破这个心理防线,企业需要理解没有绝对的安全状态,企业应通过充分了解领先的云的工作机理与先进的工作机制,了解云的计算能力与市场实力,梳理企业自身与云服务商之间以何种最佳关系状态而相处,例如什么可以依托给云,云服务商以什么安全理念为企业而服务? 无此,则安全无从谈起。第二,清晰地了解云服务商如
18、何分担上云后的安全职能。如同了解地震的规律,人类就能在更安全地在地球表面居住;了解气候变暖的威胁,人类就能预防两极冰山融化带来的灾难,企业对于云服务商能够对冲安全风险的安全服务、工具、技术和保障机制的认知越全面越强大,就能够更好地帮助企业构筑安全防线,因为这是防御安全风险/及时响应安全事故的最直接战场。1.3 云安全能力指标体系构建依托于上述两个基本原则,参考CSA发布的云计算关键领域安全指南、欧洲网络与信息安全局(ENISA)发布的云服务保障标准研究等一系列云安全标准文件,结合企业上云担忧,以便于企业在第一时间全局性地审视云服务商的安全能力,本报告从泛安全的信任基础、物理基础设施部署、内部人
19、员管理、应急响应、数据安全保护、合规性表现六个方面构建了19个细化指标体系。本报告通过搭建云安全能力指标体系,重点依托各云服务商公开披露的安全实践信息,对比各厂商在各个指标层面的表现。我们希望通过本报告为企业云决策者、云实施部署者构建安全知识体系,增强从安全维度上审视未来要选定的云服务商合作伙伴的判断力。目前国内云计算市场参与逐鹿的企业属性呈现多元化特点,不仅有传统的IT公司、电信运营商、还有大型互联网平台企业、创业公司,且提供云产品的理念与形态也仍处于演变进化的过程中。本次研究对象的选择在考虑市场表现的之外,希望覆盖不同企业类型、业务形态的云服务商的云安全实践展现。本次研究对象选取国内五家提
20、供公有云服务的国内外厂商亚马逊AWS、微软Azure、阿里云、腾讯云、天翼云。图表 1云服务商安全能力指标体系云服务商安全能力对比一级指标云服务商安全能力对比二级指标泛安全的信任基础市场表现计算资源供应能力安全理念搭建第三方合作安全伙伴的能力物理基础设施部署数据中心部署数据中心标准遵从内部人员管理人员管理流程设计招聘与培训监控备案、终止手段事故响应事故处理团队提供的信息工具、相关标准和方法事故赔偿机制日志服务数据安全保护认证、访问权限管理机制涉及数据所有权和处理权行为的数据保护机制外部网络威胁防御能力合规性表现合规认证的覆盖度云服务商标准审计透明度云服务商法律政策的遵从制图:互联网实验室,20
21、15年12月1. 泛安全的信任基础。客户可通过此洞察云服务商的领导力来获取对云服务商的信任基础,包括市场表现、计算资源供应、对于安全生态系统的领导力、是否能够通过安全理念便于客户感知云服务商与客户之间处于何种关系状态。2. 物理基础设施部署。云计算基础设施远离云用户所在地,这是引发市场对云服务担忧的重要原因之一。物理安全是保障云服务的第一道防线,客户通过数据中心部署机制、数据中心建设遵从标准的了解,来获取对云服务商保障业务连续性的信任。3. 内部人员的管理。内部恶意攻击所造成的危害后果往往严重地多,云的架构决定了这种高风险角色的存在,企业需要了解云服务商是如何管理内部人员,防止内部恶意攻击或者
22、操作不当等问题带来的云风险。4.事故响应。即使最周详的计划、实施并执行了相关的预防性安全措施,也无法完全避免信息资产遭到攻击。因此当企业转向云以后,面临一个核心问题就是:怎样才能有效处理关于云的安全事故。5. 数据安全保护。数据资产的上云尤要引起关注,企业需要从数据生命周期与数据操作行为进行耦合关联的角度考察云服务商对数据采取的保护措施。6.合规性表现。企业上云之后,由于一部分服务由云服务商来承担,则企业需要确保能够观察到直接控制之外的合规性管理责任和工作,确保云服务商能够满足企业的安全性和操作需要。特别对于一定规模以下的组织而言,“云”还是治理和合规的辅助技术,可通过内嵌合规认证的服务套件,
23、使一定规模以下的组织可以与规模更大,资源优势更明显的企业达成同等级别的合规。二、泛安全的信任指标设计与对比对云服务商是否可靠的考察是上云历程的关键基础性步骤。通过调查,我们提出可用性是企业上云的前置性审核因素用户初步评估云服务商提供的服务能够满足企业业务的功能性需求,它往往并不是关注重点,因为通常仅有一个是或者否的结论就能够迅速排除不符合的云服务商。同时很多客户认为稳定性是决策过程中需要详细考察的环节。“稳定性是前提,稳定性达不到传统架构不会考虑上云。”某塑机企业CIO。持续时间下的功能可获得性是企业对IT部门的基本需求,而在上云背景下,这一需求被更加强化了。部分被调查的企业客户甚至将功能的稳
24、定可靠视为云安全考察的重要内容。作为外包合作模式,上云企业难以如对待内部IT部门一样进行详细资源审查,这是不安全感的一个主要来源。因此我们在细化稳定涉及的感知指标的基础上对国内主流云服务商进行评估,包括市场表现、计算资源供应、对于安全生态系统的领导力、是否能够通过安全理念便于客户感知云服务商与客户之间处于何种关系状态。2.1 市场表现补偿控制权丧失感,企业考察云服务商“家底”企业对云服务商稳定性的考察首先是从“家底”而非技术层面展开。由于部分技术指标不可见和实施过程中的不确定性,国内企业在考察云服务商的时候往往会从企业财务状况因素入手。在对有上云意向的企业调查中,我们发现企业的考察具有一定的主
25、观性和不完整性,因此提取具有普遍性的指标,并通过公开的信息构建一个对在中国市场提供服务的主流云服务商“家底”的比较维度。由于国内外云计算市场发展状况的存在巨大差异,我们将对部分指标进行分开比较。云市场规模是上云企业考察的重点指标。某互联网金融平台CIO认为“规模是第一要素,毕竟与稳定服务相关。覆盖行业、用户数量、盈利能力会对选择供应商有影响。”Gartner认为,如果企业用户选定了某家云计算服务商,最理想的状态是:这家服务商能够一直平稳发展,而不会出现破产或被大型公司收购现象。其理由很简单:如果云计算服务商破产或被他人收购,企业客户既有服务将被中断或变得不稳定。并建议,在选择云计算服务商之前,
26、应把长期发展风险因素考虑在内。云计算企业的经营不稳定是一种现实风险。在2013年信贷资料服务机构Graydon UK和市场研究公司Gartner都对云计算企业的经营状况发出了风险警告。Gartner称,在未来两年里,云服务的应用者将面临严重的风险,因为他们的服务提供商很可能被收购或者被迫退出这项业务。十分之一的云服务提供商将由于收购、破产等各种原因消失。目前市场上云服务商分化在逐步拉大,根据Synergy方面公布的结果,目前四大云服务商(包括微软、IBM、谷歌与Amazon)总计收得54%营收比例。上云企业将云计算所在集团公司在其他领域的成功作为评估云计算“家底”主要指标是一个常见的误解。目前
27、主流云计算多为互联网公司、电信运营商、设备厂商的新业务领域,公司在其他领域成功是云计算业务开展的初期优势,但这并不意味着其云计算业务的必然成功。例如,2015年惠普 2014年10月,惠普公司已经发出公告,宣称将于2015年1月15日正式关闭其webOS云服务。2015年10月,宣布明年1月开始关闭惠普Helion公有云服务,转与微软合作,向客户提供微软Azure公有云服务。和戴尔 2013年5月,戴尔宣布变更其云计算战略,取消其曾经推出的基于OpenStack开源平台的公有云服务,并停止已经推向市场的基于VMware的公有云。转而重点销售运行在其硬件和软件上的使用OpenStack的私有云。
28、相继放弃了其部分云计算项目,显示了在云计算这一新兴商业领域对“成功”企业仍然是一个挑战,因此对云服务商实力的评估应该更有针对性。我们建议上云企业在评估“家底”时尽量针对集团企业的云业务板块进行独立评估。对于上云企业来说,选择云市场排名在前的公司也是一种非常重要的安全策略。市场表现主要体现在云市场上的规模、盈利能力等因素。云计算企业的经营稳定性是上云企业面临的现实风险。有针对性的考察云计算企业的财务状况有助于企业做出科学性的决策。市场规模和盈利能力不仅仅意味着企业能够长期稳定的提供服务,同是也意味着云服务商在该业务中积累案例不断完善。2.2 计算能力不可见,国内通用比较标准有待明确云计算技术本身
29、具有很高的稳定性。对于上云企业来说,云应该是一个可靠无间断的平台。一般云服务商都具备计算资源的动态延展性,也不会由于计算能力不足造成崩溃。这是由云计算的技术特征本身决定的,有时与云服务商关系不大。而在进一步评估云服务商的计算资源供应能力计算资源、存储资源、网络资源的供应能力的时候则面临信息的不透明性。由于这是涉及对外部公司资质的考察,因此我们需要引入一些间接的指标来进行评估。计算资源供应受多种因素制约,其中一些指标是上云企业无法直观感受到的。国外咨询机构使用“市场计算资源使用量”这一概念进行横向比较,被认为是比较直观和有效的指标。目前本土云服务商尚未被纳入到这一指标体系中,因此国内上云企业往往
30、寻求行业性成功个案进行参考决策。此外网络环境也是影响云服务商服务稳定性的重要因素。2.3 安全理念折射出安全能力,承诺与实践匹配方式尚不成熟云计算放大了IT的挑战,云服务商与用户之间的安全权责关系更加重要。目前,以国外主流云服务商为代表的安全责任共担模式和国内主流云服务商为代表的托管模式是我国市场上的两种主要的权责模式。模式应该对安全负责。业界一直存在对这两种模式的讨论,不同的用户也对这两种模式有各异的理解。无论是哪一种模式,在当前云服务的发展阶段,只要能够满足云安全的需求,存在即合理。云服务商和用户之间的权责划分和责任分配是否存在一个最优的结合点,也是所有云服务商正在积极探索的方向。但是,从
31、长期发展的趋势和业内专业人士的评判,可以认为安全责任共担模式更符合云服务未来的发展。云服务商的安全理念形成了不同的协议规则。整体来看,国内云服务商的安全原则仍处于建立过程中,客户与云服务商之间的最佳关系可能是需要多方博弈形成。2.4 规制第三方合作安全伙伴的能力,提升多选择服务的安全性云计算的合作伙伴能力云服务商接纳并整合基于云服务的中间商从而发展成为具有一致标准的伙伴关系也是亚马逊AWS率先提出并被行业普遍接纳的概念。在Gartner的一项研究显示,在完全接受公共云计算服务的企业中,亚马逊AWS能满足其中71%企业的需求。这在很大程度是依靠合作伙伴完成的。如何在使用第三方合作伙伴丰富服务的同
32、时保障安全也是需要考量的重要问题。云服务商无法提供面面俱到的服务,而涉及到具体业务,上云客户又存在各种定制型服务的需求。第三方合作伙伴模式是当前云服务商普遍采用的业务模式,云计算环境下三方的关系无疑更加紧密了,这也增加了一些不确定因素。云服务商如何选择和管理第三方也成为上云企业需要关注的一个重要考察因素。在对上云企业的泛安全感知提前出指标并进行赋值时,我们发现当前国内主流云服务商很难在一个维度上进行比较。这是由于国内提供成熟云计算服务的厂商,在云业务整体实力方面本土云服务商与国际云服务商存在量级上的差距,且国际云服务商在成功案例量和服务规则成熟度等方面也具有显著优势。国际云服务商在将成熟业务模
33、式和合同规则引入中国的过程中面临特殊本地化需求的挑战,而扎根于中国市场成长起来的本土云服务商则获得了相对优势。在这一比较过程中,我们尽量选择公开的信息资料,包括上市公司财报、服务白皮书等,此外使用国际咨询机构评估结论提供参考信息。而这种方式难免会形成数据口径的不一致的问题,为此我们尽量充分界定数据的意义。使用这一研究方式主要是考虑到上云企业在这部分指标上的信息可获得性。2.5 对比结果1. 市场表现上亚马逊AWS具有全球市场优势,阿里云具有区域优势据Cartner 2015年初发布的技术发展趋势报告显示,2014 年全球云计算服务市场规模达1528 亿美元,增长率达17.9%,其中公有云开支将
34、达700亿美元。作为laaS(基础设施即服务)的提出者,亚马逊在这一市场具有领跑优势。根据Synergy研究集团(Synergy Research Group)于2015年 2 月份公布的数据,亚马逊AWS 在公有云基础性服务方面的表现创下了 5 年新高,在 2014 年 Q4 中,其全球市场份额增长了 30%,营收的年同比增长也达到了 51%。市场份额排名 24 名的微软、IBM 及 Google 也在营收方面增长明显,年同比增幅分别达到 96%,48% 和 81%。图表 2 2014年内第4季度云基础设施服务市场份额和增长率2015年10月,Forrester 发布了中国区2015年第三季
35、度的企业公有云服务Wave报告中国公有云市场正在加速发展,今年的中国公有云市场规模预计为18亿美元,到2020年中国公有云市场规模预计将达到38亿美元。根据 IDC 的数据,阿里云在2014年上半年的全国 IaaS 领域市场份额为 22.8%,位居首位。微软 Azure 和 亚马逊AWS 则分别位居第四和第五位。 由于存在巨大的客观差异性,中国本土云计算企业并不适合在绝对数字上与进入中国的全球性云计算企业进行比较。亚马逊AWS在全球范围内具有云计算行业领导者优势,而在国内阿里云则依靠本土化需求的差异性获得了相对优势。亚马逊AWS:2015年亚马逊首次披露了 亚马逊AWS(Amazon Web
36、Service,亚马逊云服务)的部分财务状况:2014年 净收入 46.4 亿美元,较 2013年 上涨 49%。2015年 一季度净收入 15.7 亿美元,二季度收入18.2 亿美元。CEO Bezos 在一份声明中表示,“亚马逊AWS 是一个 50 亿美元的业务,并且依然在加速增长中,亚马逊AWS 的营收最终会超过其零售业务”。微软Azure:2014年,在 Office 365,Azure和Dynamics CRM 的持续推动下,企业级云服务收入增长114%,实现55亿美元的年收入。阿里云:2015年10月,阿里巴巴集团发布2015年第三季度财报,阿里巴巴旗下云计算业务阿里云营收6.49
37、亿元。此前的财报显示,2015年前两个季度阿里云营收分别为3.88亿元、4.85亿元。腾讯云:目前腾讯财报尚未将云计算作为单列收入项目,而含云收入的“其他服务”类收入在2015年上半年达到19.7亿元。由于本部分涵盖“电子商务交易、提供商标授权、软件开发服务、软件销售及其他服务”,此数据仅做参考,无法据此评估腾讯云的具体营收情况。天翼云:根据电信公布的2015年上半年业绩,电信云计算(天翼云)产品实现收入人民币4.7亿元。由于国内云计算市场尚不成熟,国内上云企业对云计算服务的认知仍处于初级阶段,因此企业对云服务商“家底”的评估中并未形成统一的价值标准。企业对云计算产业内的全球性统计结果感知度不
38、高,在此背景下本土优势企业形成了较强的影响力。但是我们认为整体性业务规模对企业选择有重要意义。作为对整体云商业能力的判断的时候,规模不仅仅意味着企业财务的稳定性,还能够带来服务规则的较高成熟度和案例积累的最佳方案。2. 科技咨询公司评估计算能力模型显示亚马逊AWS最强一种评估方式为通过云服务商服务的客户来评估其服务的计算能力。在2015年Gartner发布的IaaS魔力象限指标体系中,对具有全球性服务能力的云供应商进行了考察,并做出排名,其中亚马逊AWS拥有多元化的客户基础和最广泛的使用案例,包括企业和关键任务应用。亚马逊AWS客户使用的云计算能力超过其他14个云服务商 这份报告评估的IaaS
39、 企业,除亚马逊AWS外,其余14家为:Microsoft、Google、CenturyLink、VMware、IBM(SoftLayer)、Rackspace、Virtustream、CSC、Interoute、Fujitsu、Verizon、NTT Communications、Joyent、Dimension Data。总和的10倍。而在同一比较维度下,微软Azure的计算能力是另外13大竞争对手(不包括亚马逊)总和的2倍。目前已经有咨询机构开始针对中国云计算市场进行调研,但数据仍然缺乏整体参考性。Forrester Research发布独立报告Forrester Wave:2015年第
40、三季度中国企业级公有云平台 原文名:The Forrester Wave: Enterprise Public Cloud Platforms In China, Q3 2015:The 11 Providers That Matter Most And How They Stack Up,在中国企业云平台市场甄选了主要的云平台服务商并对其进行全方位的评估,其中对微软Azure 和阿里云 该报告未对亚马逊AWS和腾讯云在此类上的表现打分。的服务能力打分为4.00和3.75 。同期评估中阿里巴巴、微软、和亚马逊则被评为“企业级公有云平台领导者(Leaders)”。本土云服务商未进入国际统一比较体
41、系无法获得整体性数据,上云企业不得不使用一些个案性的信息辅助进行决策。例如,上云企业会参考本行业内使用云的案例进行选择,但是他们仍然希望能够借助第三方机构提供综合性比较结论。在中国,网络环境是制约云服务商计算资源供应的重要因素。云计算的基础技术虚拟化技术、分布式计算、效用计算等,需要通过网络进行即时性连接,从而实现服务的随时随地可获得。因此除了云服务商 本身计算、存储资源的规模外,网络环境成为影响云计算产业功能稳定性的重要变量。当前中国三大运营商之间的网络互联困难是当前制约云计算服务稳定性重要制约因素。在解决这个问题上,无论是选择分运营商部署、多线多IP、静态BGP或动态BGP,都将增加企业上
42、云的成本。这甚至成为中国企业选择云服务商的时候必须考虑的运营商本身资质之外的因素。3. 亚马逊AWS和微软Azure都在中国引入其具有全球一致性的权责模式对比五家云服务商的权责模式,较为常见的是亚马逊AWS和微软Azure采取的明确安全责任共担的模式;腾讯云和电信云没有明确的宣称实现某种模式,但从合同、承诺书等公开文件来看,在实际项目中也划分了责任边界;阿里云则基于中国市场现实需求提出了托管服务,而近期阿里云将安全托管设置为付费可选服务,开始出现划分责任的趋势。亚马逊AWS倡导其为用户提供安全的云,用户在云中安全运行,权责清晰、绝不僭越。微软Azure由世纪互联提供和维护云平台,用户在平台中负
43、责维护自身的安全环境。图表 3 国内主流云服务商权责模式比较云服务商责任模式权责模式表现或影响亚马逊AWS责任共担型评估云计算安全,客户理解和辨别责任共担是非常重要的:亚马逊AWS提供的云安全服务措施是通过工具和操作保障“安全的云”;客户通过操作亚马逊AWS提供的安全内容和应用程序实现“云中安全”。微软Azure/世纪互联责任共担型云平台要求客户与服务提供商共担责任。世纪互联负责维护平台,并提供可满足客户的安全性、隐私和合规性需求的云服务。在配置服务之后,客户负责维护其环境,包括其应用程序、数据内容、虚拟机、访问凭据以及遵守适用于其特定行业和区域的法规。阿里云可选托管型阿里云保障平台安全,并通
44、过为客户提供三类安全能力:1)云产品的安全功能、2)云盾安全服务以及3)安全生态里的第三方安全厂商产品,来满足客户保护云端业务及数据安全的需求。客户自主选择阿里云提供的安全能力保护自己的业务系统。当用户采购云盾“服务器安全托管”服务时,可以为用户提供保姆式托管服务,按照SLA提供服务。腾讯云近似责任共担型在其网站公开信息中未明确说明权责模式划分。根据咨询腾讯云客服反馈,相关内容写到与客户签订的合同中。天翼云近似责任共担型与用户签订了系列安全协议书,包括云业务服务使用责任书、网络信息安全承诺书、中国电信天翼云主机服务等级协议、中国电信天翼对象存储系统服务等级协议。在安全协议书中明确各自的权利与责
45、任。制图:互联网实验室,2015年12月通过访谈多家国内云用户企业技术负责人和云服务领域专业人士获知:一般小型企业倾向于阿里云的保姆式安全托管服务,尽管他们也承认权责共担更有利于保护自有数据的安全,但是保姆式服务可以缓解他们自建IT安全团队的资金压力;大中型企业和专业人士则更倾向于责任共担模式,因为对他们而言安全是首位,资金压力相对不是重要的考虑因素。此外,2015年7月中央网信办牵头出台了关于加强党政部门云计算服务网络安全管理的意见,该文件确定了党政部门在采购使用云计算服务过程中应遵守的4项大的原则规定:安全管理责任不变,数据归属关系不变,安全管理标准不变,敏感信息不出境 中国政府采购网 云
46、安全审查来临 云服务商如何解读。其中“安全管理责任不变”强调了政府用户在使用中的安全责任。虽然文件针对政府使用云计算服务,但是该文件出台也将对云服务市场产生影响。企业上云需要明白,云最佳实践就是要接受云内容其实跟IT经理的日常所负责的工作很相像,存储在云中的东西和之前存储在企业内部服务器上的东西是一样的。把应用和数据迁移到云中不等于IT经理因此便可卸掉自己的责任。这么做只是改变了工作责任的性质,将其转变成了一种要与云提供商共同承担的责任而已。因为,属于企业的数据资产只应该由企业掌管,云服务商只是托管的平台和工具,而不应该成为可以窥视用户资产的守门人。此外,需要关注的是,由于国内互联网产业环境仍
47、不成熟,也可能影响企业对云计算产业和具体云服务商做出安全性的客观评价。目前网络安全事故中取证、责任认定和赔付等尚无明确法律和判例,造成部分企业出现“无论如何云无法在整体不安全的环境下保证安全”的消极情绪,从而导致轻视审查云服务商的安全措施甚至放弃上云等极端选择。这种消极观点不利于企业在创新技术环境中做出正确决策。对云服务商来说,需要采取积极的措施推动云产业供需双方建立产业环境的信任感,因为放任这种情绪将最终影响整体产业的健康发展。对上云企业来说,正视安全风险并在透明性方面提出明确要求更具有积极意义。4. 亚马逊AWS明确要求第三方遵循与自身一样的安全认证标准当前合作伙伴模式已经成为云服务商普遍采用的一项业务战略。国际云计算领先企业进入中国后迅速复制了这一成熟的业务模式,亚马逊AWS和微软Azure在中国云落地的同时开始布局中国合作伙伴战略。在安全方面,云服务商通过合作伙伴将专业安全厂商引入到服务体系中,在为用户构建更加安全可靠地云应用方面提供了更多的选择,从而有可能形成强强联合的效果。目前在这些合作中,各云服务商有不同的选择。亚马逊AWS选择与细分领域内的领先者进行合作,如在安全领域亚马逊AWS的最高等级且合作最成熟的技术合作伙伴(Advanced Technology Partner)之一的趋势科技就是在全球云计算安全市场上排名第一位的安全厂商。在中国,亚马逊
