【2022精编】《云深不知处企业上云安全策略指南》.docx

《【2022精编】《云深不知处企业上云安全策略指南》.docx》由会员分享，可在线阅读，更多相关《【2022精编】《云深不知处企业上云安全策略指南》.docx（79页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、云深不知处2016 企业上云安全策略指南2016 年 1 月编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第2页 共79页第 2 页 共 79 页互联网实验室观点价值与安全是企业做出上云决策的两个支点。面对上云决策，企业需要在价值需求与安全需求之间形成最适合于企业自身发展战略、业务特性的决策天平。在对价值支点的判断上，云是大势所趋已经深入人心。企业可以通过对内部 IT 成本的核算和业务发展情况等内部信息对上云的价值做出有效评估。企业如果能将云的诸多优点引入生产、运营、服务环节之中，就能够在创造新的商业模式、持续创新、降低成本等方面释放

2、巨大的价值潜能。例如：有了云，用户不再需要购买、建立、安装并运行昂贵的计算机硬件，而通过无处不在的可用有线或无线网络，就可简便的获取计算机资源，正如获取其他公共资源一样；云还具备弹性，用户可以快速并且经济的增加或者减少云服务；云共享的计算机资源可以提供客观的经济效益，并且可以减少成本、加快创新；云提供的服务已经存在，可以在需要时按需分配，按需扩容；用户可以快速并且经济地计算自身云服务的吞吐量，并据此进行相应调整。而在对安全支点的判断上，无法排解的安全忧虑导致企业上云迟疑甚至可能引发决策反复。企业在将转移 IT 解决方案到云计算的同时，由于企业客户基础设施和应用程序的外部化使得企业的完全控制权发

3、生变化，安全保障的不透明性和不可控性使得上云企业对云服务有效存储和安全共享等方面存在一定的安全风险顾虑。在调研中我们发现，企业对于上云后的数据安全的担忧基本上覆盖了云端数据安全的整个生命链条：例如数据传输和存储是否安全；数据访问控制权限是否可控；数据是否会被入侵、被攻击；漏洞或系统不稳定是否造成企业用户的业务中断、数据被盗、被篡改？这些现实情况使得中国企业上云之路呈现出漫长编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第3页 共79页第 3 页 共 79 页曲折的形态。以基于价值与安全感知的企业云决策象限来谋求破题之道。在项目初期，我

4、们对有上云需求的企业进行初步接触时发现，企业或者无限期地延缓上云行动；或者在上云后出现决策反复；或者认为云有优点，但也有不确定风险，需要谨慎上云；甚至或者即使经在用云，仍对安全抱有较大不信任。因此，我们在报告当中以企业对云价值的释放是否清晰，企业对安全的感知、需求是否明确为维度描绘了如下企业云决策象限。安全需求的模糊性会加重决策天平的不稳定性，企业所面临的难以权衡取舍的决策困境需要破解。面对安全问题，企业要基于对外部信息结合自身 IT 能力和需求进行判断，这无疑是难度更大的，尤其是难以形成量化结论。难以言喻的 IT 功能外部产生的失控感又大大加重了上云决策中安全需求的主观法码。我们将基于区分企

5、业对云的安全感知状态来拨开企业云安全感知迷雾。企业对云的安全感知状态大致可以区分为两类，无论是哪一种状态，都会成为企业做出客观、理性的云决策的阻碍因素。第一，企业存在安全认知盲区会降低在做出决策时对云服务商安全能力的审视敏感性。编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第4页 共79页第 4 页 共 79 页企业是否具备了客观审视云的风险特征的足够信息支撑？企业是否有充足的云安全认知能够在成本考量的基础上最大程度防御安全风险，又能够在一旦安全事故发生后的如何最大化的降低损失？如果企业知晓的安全信息不够全面，就会降低对云服务商安全能

6、力的审视敏感性，影响业务在云中的实际运行安全。第二，控制权迁移引发的不安全感可能错估上云时机。多家研究机构的统计调研数据均证实企业对云服务安全的担忧是全球范围内面临的上云障碍。如果企业在带有不安全感的心理状态下来审视云服务商，有可能因为主观的不信任而影响了客观、理性的对上云之路，以及云合作伙伴基于安全视角的审视与决策，就会错估享受云效益的时机。云安全问题的破题需要映射到云服务商的安全实践表现，我们建立云安全能力指标体系协助企业做出最佳决策。我们提出企业进行云安全审视的两条基本原则，第一，企业寻找领先的云，思考企业与云的最佳结合状态；第二，企业清晰地了解云服务商的安全机制与安全责任。依托于上述两

7、个基本原则，本报告从泛安全的信任基础、物理资源基础设施的安全部署能力、内部人员的管理流程、应急响应能力、数据安全保护能力、合规性表现六个方面构建了 19 个细化指标的云安全能力指标体系，对云服务商的安全实践进行比较。本报告通过云服务商安全能力指标体系的构建，帮助企业构建充足的关于云服务商安全能力的研判信息，通过对比云服务商来了解上云需关注的安全环节，即可对上云安全做到心中有数，应对有术。从而在上云决策中，提升基于安全视角的理性、客观性，优化的最佳决策。编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第5页 共79页第 5 页 共 79

8、页目录互联网实验室观点.2目录.5研究方法：基于公开信息的比较研究.8一、构建云安全能力指标体系.101.1 拨开企业云安全感知迷雾.101.2 提出企业进行云安全审视的基本原则.111.3 云安全能力指标体系构建.12二、泛安全的信任指标设计与对比.152.1 市场表现补偿控制权丧失感，企业考察云服务商“家底”.152.2 计算能力不可见，国内通用比较标准有待明确.172.3 安全理念折射出安全能力，承诺与实践匹配方式尚不成熟.172.4 规制第三方合作安全伙伴的能力，提升多选择服务的安全性.182.5 对比结果.18三、物理基础设施部署指标设计与对比.263.1 企业云之旅从物理安全开始.

9、26编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第6页 共79页第 6 页 共 79 页3.2 物理基础设施部署指标体系设计.263.3 对比结果.29四、内部人员管理指标设计与对比.314.1 完善的人员管理流程能够将恶意人员风险最小化.314.2 内部人员管理指标体系设计.314.3 对比结果.33五、事故响应指标设计与对比.345.1 云服务商好比房地产的物业.345.2 明确云给事故响应带来的特殊性，有助于业务更快的恢复.345.3 事故响应指标体系设计.345.3 对比结果.37六、数据安全保护指标设计与对比.396.1

10、所有权和控制权转移，促使客户依赖高标准安全控制手段.396.2 对数据安全保障技术和能力的评估.406.3 对比结果.44七、合规性表现指标设计与对比.46编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第7页 共79页第 7 页 共 79 页7.1 云服务商的合规性认证是给客户企业安全保障的定心丸.467.2 合规性指标主要分为安全认证、透明审计和法律遵从.467.3 国内外云服务行业合规性认证存在差异，国外优势明显.517.4 对比结果.52结论.63后记：共筑云安全更佳状态需要各方参与.67常见问题.69云服务商信息来源说明.71

11、致谢.73编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第8页 共79页第 8 页 共 79 页研究方法：基于公开信息的比较研究对信息的有效理解能够提升决策的自信。本次研究同样面临对信息的理解困境，研究设计是基于破解面临的多源、不一致和不对称等困境而形成的。我们认为本次项目首要目标是构建中国企业对云安全的评价认知和指标体系，在这问题下，我们需要解决什么是安全？以及哪些信息能够支撑安全感受？并最终通过可以获得的信息建立一个解答模式。首先，利用权威报告建立对云安全的基础认知和分析框架。在研究中我们参考了权威机构发布的对云计算企业评估报告，

12、已经针对云安全领域的比较体系。其中较为重要的包括：美国高技术市场研究公司 Forrester 云安全指标体系，技术咨询研究机构 Gartner 对云安全市场的分析报告，欧洲网络与信息安全局（ENISA）关于云计算的研究报告中对于云风险情景的描述等。基于以上资料，我们初步建立了对云安全的基本概念和评价体系，以便于在后续研究中形成一个具有较强一致性的比较逻辑和对话平台。其次，通过调查中国企业发现本土需求与经典理论之间的差异。我们希望通过对中国企业 IT 部门高管、技术负责人调查，了解中国企业对上云决策理解，对云安全的态度。在获得这些信息之外，我们还了解到部分企业存在与常见云理论不同的感性认知，在此

13、基础上我们对初期比较框架做了调整和细化。本次调查为了保证调查展现出的观点的多样性，样本企业即包括互联网金融、移动应用开发、IT 系统开发等 IT 产业，也包括城市基础设施建设运营、加工设备制造、电子仪器制造等传统行业。在上云情况上，这些企业或已经上云，或明确表现出上云的意愿，访问对象主要为企业 CTO、CIO 或技术总监等相关职位。再次，通过访问中国云安全专家修正和提升比较框架。就资料和调查中存在的问题，我们对国内高校、研究机构中信息化、信息安全、云计算等领域专家，以及其他在该领域长期从事一线工作的专业人士该进行了专题访问。专家基于所在专业领域，对中国云计算发展状况及特殊性，企业上云安全的整体

14、性困惑和解决方法等编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第9页 共79页第 9 页 共 79 页问题做出了解答。最后，使用公开信息进行以安全为核心的比较实践。针对最终形成的指标体系，研究团队通过公开渠道获取具有统一标准的信息进行比较操作。这些信息渠道包括：1.云服务商企业自行发布的白皮书；2.云服务商企业自身对外公开的业务动态新闻；3.权威机构发布的研究报告；4.对部分不明确信息，我们通过企业公开的客服电话进行了询问确认。使用公开信息源主要考虑到本次研究行为建立一个能够为上云企业提供参考的比较方法，因此在整体研究方法上都充分考

15、虑了信息的可获得性。编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第10页 共79页第 10 页 共 79 页一、构建云安全能力指标体系上云路途的一个阻碍是企业对云安全的担忧，与企业的近距离地交流访谈中，我们发现这种担忧因人而异，对企业迈入云端的影响程度也不一样，存在不同的安全感知状态。有的企业认为：云有优点，但也有不确定风险，谨慎上云；有的企业认为云很好，云即代表安全；也有企业认为云的安全没有切实可行的效果衡量。无论是哪种状态，抛开企业的行业类型、组织规模、技术实力这些客观事实，企业对云安全的感知状态可以按照描述为以下几点：企业对云

16、安全有偏差的认知；不知何解的疑问；由于对云的认识还不够全面存在没有想到的安全问题等。由于这种因人而异的安全感知的差异性，我们将本报告首先站在企业的角度来剖析几种企业对云安全的感知状态，再构建起云安全能力体系，对比主要云服务提供商（云服务商）安全实践现状的基础上，将各家云服务商的关键安全能力解释转化为企业、公众可理解的信息，以期帮助企业构建相对系统、全面的云安全知识体系。1.1 拨开企业云安全感知迷雾企业对云的安全感知状态大致可以区分为两类，存在安全感知盲区和由于控制权的迁移引发的不安全感，无论是哪一种状态，都会成为企业做出客观、理性的云决策的阻碍因素。1.1.1 安全感知盲区会降低在决策时对云

17、服务商安全能力的审视敏感性第一种情况，由于云自身的资源池化等特征会释放出相对于传统 IT 部署活动的新风险，例如云规模化的资源集中在产生效益的同时，也会因目标更大而遭受黑客的攻击，从而给企业自身带来风险。企业是否具备了客观审视云的风险特征的足够信息支撑？第二种情况，由于没有绝对的安全状态，安全风险不能百分百杜绝，企业在部署安全防护时，还需要同时考虑成本这一现实问题。最佳安全保障体系需要既能够在企业成本考量的基础上最大程度防御安全风险，又能够在一旦安全事故发生后如何最大化的降低损失。企业的云安全状态不能完全寄托于云服务提供商，如果企业不能够充分了解云服务商在编号：时间：2021 年 x 月 x

18、日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第11页 共79页第 11 页 共 79 页数据安全、服务可靠性、内部人员管理、访问控制与授权等一系列方面的安全能力部署信息，将会影响在成本考量之下的安全保障体系部署，一旦安全事故发生后，企业自身也不能依据充分的信息快速调拨云服务商的安全解决方案做出及时预案。如果企业知晓的安全信息不够全面，就会降低对云服务商安全能力的审视敏感性，影响业务在云中的实际运行安全。1.1.2 控制权迁移引发的不安全感可能错估上云时机组织不愿意采用云服务，缺乏安全感是其中的一个，甚至对某些企业来说安全甚至是上云的头号障碍。随着开发验证测试，数据存储备

19、份容灾，关键业务应用，数据中心等一系列的企业 IT 活动阶段性地上云，原来在企业完全掌控的 IT 部署活动由云服务商承担了一部分的职能。例如基础设施和应用程序的外部化，会给企业自身带来的控制权转移而引发的风险担忧。企业对云服务商提供的安全保障能力本身，以及是否在合规性、数据保护、控制内外部恶意攻击等方面具备足够透明性的顾虑也会油然而生。我们要承认的是，不安全感本身是一种带有主观性的心理活动。如果企业在带有不安全感的心理状态下来审视云服务商，有可能因为主观的不信任而影响了客观、理性的对上云之路，以及云合作伙伴基于安全视角的审视与决策，就会错估享受云效益的时机。1.2 提出企业进行云安全审视的基本

20、原则第一，寻找领先的云，思考企业与云的最佳关系状态。在简单地剖析了企业上云之路的安全心理状态之后，我们认为，面对企业的不安全感的心理，如果要突破这个心理防线，企业需要理解没有绝对的安全状态，企业应通过充分了解领先的云的工作机理与先进的工作机制，了解云的计算能力与市场实力，梳理企业自身与云服务商之间以何种最佳关系状态而相处，例如什么可以依托给云，云服务商以什么安全理念为企业而服务？无此，则安全无从谈起。第二，清晰地了解云服务商如何分担上云后的安全职能。如同了解地震的规律，人类就能在更安全地在地球表面居住；了解气候变暖的威胁，人类就能预防两极冰山融化带来的灾难，企业对于云服务商能够对冲安全风险的安

21、全服务、工具、技术和保障机制的认知越全面编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第12页 共79页第 12 页 共 79 页越强大，就能够更好地帮助企业构筑安全防线，因为这是防御安全风险/及时响应安全事故的最直接战场。1.3 云安全能力指标体系构建依托于上述两个基本原则，参考 CSA 发布的云计算关键领域安全指南、欧洲网络与信息安全局（ENISA）发布的云服务保障标准研究等一系列云安全标准文件，结合企业上云担忧，以便于企业在第一时间全局性地审视云服务商的安全能力，本报告从泛安全的信任基础、物理基础设施部署、内部人员管理、应急响应

22、、数据安全保护、合规性表现六个方面构建了 19 个细化指标体系。本报告通过搭建云安全能力指标体系，重点依托各云服务商公开披露的安全实践信息，对比各厂商在各个指标层面的表现。我们希望通过本报告为企业云决策者、云实施部署者构建安全知识体系，增强从安全维度上审视未来要选定的云服务商合作伙伴的判断力。目前国内云计算市场参与逐鹿的企业属性呈现多元化特点，不仅有传统的 IT 公司、电信运营商、还有大型互联网平台企业、创业公司，且提供云产品的理念与形态也仍处于演变进化的过程中。本次研究对象的选择在考虑市场表现的之外，希望覆盖不同企业类型、业务形态的云服务商的云安全实践展现。本次研究对象选取国内五家提供公有云

23、服务的国内外厂商亚马逊 AWS、微软 Azure、阿里云、腾讯云、天翼云。编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第13页 共79页第 13 页 共 79 页图表 1 云服务商安全能力指标体系云服务商安全能力对比一级指标云服务商安全能力对比二级指标泛安全的信任基础市场表现计算资源供应能力安全理念搭建第三方合作安全伙伴的能力物理基础设施部署数据中心部署数据中心标准遵从内部人员管理人员管理流程设计招聘与培训监控备案、终止手段事故响应事故处理团队提供的信息工具、相关标准和方法事故赔偿机制日志服务数据安全保护认证、访问权限管理机制涉及数

24、据所有权和处理权行为的数据保护机制外部网络威胁防御能力合规性表现合规认证的覆盖度云服务商标准审计透明度云服务商法律政策的遵从制图：互联网实验室，2015 年 12 月1.泛安全的信任基础。客户可通过此洞察云服务商的领导力来获取对云服务商的信任基础，包括市场表现、计算资源供应、对于安全生态系统的领导力、是否能够通过安全理念便于客户感知云服务商与客户之间处于何种关系状态。2.物理基础设施部署。云计算基础设施远离云用户所在地，这是引发市场对云服务担忧的重要原因之一。物理安全是保障云服务的第一道防线，客户通过数据中心部署机制、数据中心建设遵从标准的了解，来获取对云服务商保障业务连续性的信任。3.内部人

25、员的管理。内部恶意攻击所造成的危害后果往往严重地多，云的架构决定了这种高风险角色的存在，企业需要了解云服务商是如何管理内部人员，防止内部恶意攻击或者操作不当等问题带来的云风险。4.事故响应。即使最周详的计划、实施并执行了相关的预防性安全措施，也无法完全避编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第14页 共79页第 14 页 共 79 页免信息资产遭到攻击。因此当企业转向云以后，面临一个核心问题就是：怎样才能有效处理关于云的安全事故。5.数据安全保护。数据资产的上云尤要引起关注，企业需要从数据生命周期与数据操作行为进行耦合关联的角

26、度考察云服务商对数据采取的保护措施。6.合规性表现。企业上云之后，由于一部分服务由云服务商来承担，则企业需要确保能够观察到直接控制之外的合规性管理责任和工作，确保云服务商能够满足企业的安全性和操作需要。特别对于一定规模以下的组织而言，“云”还是治理和合规的辅助技术，可通过内嵌合规认证的服务套件，使一定规模以下的组织可以与规模更大，资源优势更明显的企业达成同等级别的合规。编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第15页 共79页第 15 页 共 79 页二、泛安全的信任指标设计与对比对云服务商是否可靠的考察是上云历程的关键基础性步

27、骤。通过调查，我们提出可用性是企业上云的前置性审核因素用户初步评估云服务商提供的服务能够满足企业业务的功能性需求，它往往并不是关注重点，因为通常仅有一个是或者否的结论就能够迅速排除不符合的云服务商。同时很多客户认为稳定性是决策过程中需要详细考察的环节。“稳定性是前提，稳定性达不到传统架构不会考虑上云。”某塑机企业 CIO。持续时间下的功能可获得性是企业对 IT 部门的基本需求，而在上云背景下，这一需求被更加强化了。部分被调查的企业客户甚至将功能的稳定可靠视为云安全考察的重要内容。作为外包合作模式，上云企业难以如对待内部 IT 部门一样进行详细资源审查，这是不安全感的一个主要来源。因此我们在细化

28、稳定涉及的感知指标的基础上对国内主流云服务商进行评估，包括市场表现、计算资源供应、对于安全生态系统的领导力、是否能够通过安全理念便于客户感知云服务商与客户之间处于何种关系状态。2.1 市场表现补偿控制权丧失感，企业考察云服务商“家底”企业对云服务商稳定性的考察首先是从“家底”而非技术层面展开。由于部分技术指标不可见和实施过程中的不确定性，国内企业在考察云服务商的时候往往会从企业财务状况因素入手。在对有上云意向的企业调查中，我们发现企业的考察具有一定的主观性和不完整性，因此提取具有普遍性的指标，并通过公开的信息构建一个对在中国市场提供服务的主流云服务商“家底”的比较维度。由于国内外云计算市场发展

29、状况的存在巨大差异，我们将对部分指标进行分开比较。云市场规模是上云企业考察的重点指标。某互联网金融平台 CIO 认为“规模是第一要素，毕竟与稳定服务相关。覆盖行业、用户数量、盈利能力会对选择供应商有影响。”Gartner认为，如果企业用户选定了某家云计算服务商，最理想的状态是：这家服务商能够一直平稳发展，而不会出现破产或被大型公司收购现象。其理由很简单：如果云计算服务商破产或被编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第16页 共79页第 16 页 共 79 页他人收购，企业客户既有服务将被中断或变得不稳定。并建议，在选择云计算服

30、务商之前，应把长期发展风险因素考虑在内。云计算企业的经营不稳定是一种现实风险。在 2013 年信贷资料服务机构 Graydon UK和市场研究公司 Gartner 都对云计算企业的经营状况发出了风险警告。Gartner 称，在未来两年里，云服务的应用者将面临严重的风险，因为他们的服务提供商很可能被收购或者被迫退出这项业务。十分之一的云服务提供商将由于收购、破产等各种原因消失。目前市场上云服务商分化在逐步拉大，根据 Synergy 方面公布的结果，目前四大云服务商(包括微软、IBM、谷歌与 Amazon)总计收得 54%营收比例。上云企业将云计算所在集团公司在其他领域的成功作为评估云计算“家底”

31、主要指标是一个常见的误解。目前主流云计算多为互联网公司、电信运营商、设备厂商的新业务领域，公司在其他领域成功是云计算业务开展的初期优势，但这并不意味着其云计算业务的必然成功。例如，2015 年惠普1和戴尔2相继放弃了其部分云计算项目，显示了在云计算这一新兴商业领域对“成功”企业仍然是一个挑战，因此对云服务商实力的评估应该更有针对性。我们建议上云企业在评估“家底”时尽量针对集团企业的云业务板块进行独立评估。对于上云企业来说，选择云市场排名在前的公司也是一种非常重要的安全策略。市场表现主要体现在云市场上的规模、盈利能力等因素。云计算企业的经营稳定性是上云企业面临的现实风险。有针对性的考察云计算企业

32、的财务状况有助于企业做出科学性的决策。市场规模和盈利能力不仅仅意味着企业能够长期稳定的提供服务，同是也意味着云服务商在该业务中积累案例不断完善。12014 年 10 月，惠普公司已经发出公告，宣称将于 2015 年 1 月 15 日正式关闭其 webOS 云服务。2015年 10 月，宣布明年 1 月开始关闭惠普 Helion 公有云服务，转与微软合作，向客户提供微软 Azure 公有云服务。22013 年 5 月，戴尔宣布变更其云计算战略，取消其曾经推出的基于 OpenStack 开源平台的公有云服务，并停止已经推向市场的基于 VMware 的公有云。转而重点销售运行在其硬件和软件上的使用

33、OpenStack的私有云。编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第17页 共79页第 17 页 共 79 页2.2 计算能力不可见，国内通用比较标准有待明确云计算技术本身具有很高的稳定性。对于上云企业来说，云应该是一个可靠无间断的平台。一般云服务商都具备计算资源的动态延展性，也不会由于计算能力不足造成崩溃。这是由云计算的技术特征本身决定的，有时与云服务商关系不大。而在进一步评估云服务商的计算资源供应能力计算资源、存储资源、网络资源的供应能力的时候则面临信息的不透明性。由于这是涉及对外部公司资质的考察，因此我们需要引入一些间接

34、的指标来进行评估。计算资源供应受多种因素制约，其中一些指标是上云企业无法直观感受到的。国外咨询机构使用“市场计算资源使用量”这一概念进行横向比较，被认为是比较直观和有效的指标。目前本土云服务商尚未被纳入到这一指标体系中，因此国内上云企业往往寻求行业性成功个案进行参考决策。此外网络环境也是影响云服务商服务稳定性的重要因素。2.3 安全理念折射出安全能力，承诺与实践匹配方式尚不成熟云计算放大了 IT 的挑战，云服务商与用户之间的安全权责关系更加重要。目前，以国外主流云服务商为代表的安全责任共担模式和国内主流云服务商为代表的托管模式是我国市场上的两种主要的权责模式。模式应该对安全负责。业界一直存在对

35、这两种模式的讨论，不同的用户也对这两种模式有各异的理解。无论是哪一种模式，在当前云服务的发展阶段，只要能够满足云安全的需求，存在即合理。云服务商和用户之间的权责划分和责任分配是否存在一个最优的结合点，也是所有云服务商正在积极探索的方向。但是，从长期发展的趋势和业内专业人士的评判，可以认为安全责任共担模式更符合云服务未来的发展。云服务商的安全理念形成了不同的协议规则。整体来看，国内云服务商的安全原则仍处于建立过程中，客户与云服务商之间的最佳关系可能是需要多方博弈形成。编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第18页 共79页第 1

36、8 页 共 79 页2.4 规制第三方合作安全伙伴的能力，提升多选择服务的安全性云计算的合作伙伴能力云服务商接纳并整合基于云服务的中间商从而发展成为具有一致标准的伙伴关系也是亚马逊 AWS 率先提出并被行业普遍接纳的概念。在Gartner 的一项研究显示，在完全接受公共云计算服务的企业中，亚马逊 AWS 能满足其中71%企业的需求。这在很大程度是依靠合作伙伴完成的。如何在使用第三方合作伙伴丰富服务的同时保障安全也是需要考量的重要问题。云服务商无法提供面面俱到的服务，而涉及到具体业务，上云客户又存在各种定制型服务的需求。第三方合作伙伴模式是当前云服务商普遍采用的业务模式，云计算环境下三方的关系无

37、疑更加紧密了，这也增加了一些不确定因素。云服务商如何选择和管理第三方也成为上云企业需要关注的一个重要考察因素。在对上云企业的泛安全感知提前出指标并进行赋值时，我们发现当前国内主流云服务商很难在一个维度上进行比较。这是由于国内提供成熟云计算服务的厂商，在云业务整体实力方面本土云服务商与国际云服务商存在量级上的差距，且国际云服务商在成功案例量和服务规则成熟度等方面也具有显著优势。国际云服务商在将成熟业务模式和合同规则引入中国的过程中面临特殊本地化需求的挑战，而扎根于中国市场成长起来的本土云服务商则获得了相对优势。在这一比较过程中，我们尽量选择公开的信息资料，包括上市公司财报、服务白皮书等，此外使用

38、国际咨询机构评估结论提供参考信息。而这种方式难免会形成数据口径的不一致的问题，为此我们尽量充分界定数据的意义。使用这一研究方式主要是考虑到上云企业在这部分指标上的信息可获得性。2.5 对比结果1.市场表现上亚马逊 AWS 具有全球市场优势，阿里云具有区域优势据 Cartner 2015 年初发布的技术发展趋势报告显示，2014 年全球云计算服务市场规编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第19页 共79页第 19 页 共 79 页模达 1528 亿美元，增长率达 17.9%，其中公有云开支将达 700 亿美元。作为 laaS（

39、基础设施即服务）的提出者，亚马逊在这一市场具有领跑优势。根据 Synergy 研究集团（SynergyResearch Group）于 2015 年 2 月份公布的数据，亚马逊 AWS 在公有云基础性服务方面的表现创下了 5 年新高，在 2014 年 Q4 中，其全球市场份额增长了 30%，营收的年同比增长也达到了 51%。市场份额排名 24 名的微软、IBM 及 Google 也在营收方面增长明显，年同比增幅分别达到 96%，48%和 81%。图表 2 2014 年内第 4 季度云基础设施服务市场份额和增长率2015 年 10 月，Forrester 发布了中国区 2015 年第三季度的企业

40、公有云服务 Wave报告中国公有云市场正在加速发展，今年的中国公有云市场规模预计为 18 亿美元，到2020 年中国公有云市场规模预计将达到 38 亿美元。根据 IDC 的数据，阿里云在 2014 年上半年的全国 IaaS 领域市场份额为 22.8%，位居首位。微软 Azure 和 亚马逊 AWS 则分别位居第四和第五位。编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第20页 共79页第 20 页 共 79 页由于存在巨大的客观差异性，中国本土云计算企业并不适合在绝对数字上与进入中国的全球性云计算企业进行比较。亚马逊 AWS 在全球范

41、围内具有云计算行业领导者优势，而在国内阿里云则依靠本土化需求的差异性获得了相对优势。亚马逊 AWS：2015 年亚马逊首次披露了 亚马逊 AWS（Amazon Web Service，亚马逊云服务）的部分财务状况：2014 年 净收入 46.4 亿美元，较 2013 年 上涨 49%。2015 年 一季度净收入 15.7 亿美元，二季度收入 18.2 亿美元。CEO Bezos 在一份声明中表示，“亚马逊 AWS 是一个 50 亿美元的业务，并且依然在加速增长中，亚马逊 AWS 的营收最终会超过其零售业务”。微软 Azure：2014 年，在 Office 365，Azure 和 Dynami

42、cs CRM 的持续推动下，企业级云服务收入增长 114%，实现 55 亿美元的年收入。阿里云：2015 年 10 月，阿里巴巴集团发布 2015 年第三季度财报，阿里巴巴旗下云计算业务阿里云营收 6.49 亿元。此前的财报显示，2015 年前两个季度阿里云营收分别为3.88 亿元、4.85 亿元。腾讯云：目前腾讯财报尚未将云计算作为单列收入项目，而含云收入的“其他服务”类收入在 2015 年上半年达到 19.7 亿元。由于本部分涵盖“电子商务交易、提供商标授权、软件开发服务、软件销售及其他服务”，此数据仅做参考，无法据此评估腾讯云的具体营收情况。天翼云：根据电信公布的 2015 年上半年业绩

43、，电信云计算（天翼云）产品实现收入人民币 4.7 亿元。由于国内云计算市场尚不成熟，国内上云企业对云计算服务的认知仍处于初级阶段，因此企业对云服务商“家底”的评估中并未形成统一的价值标准。企业对云计算产业内的全球性统计结果感知度不高，在此背景下本土优势企业形成了较强的影响力。但是我们认为整体性业务规模对企业选择有重要意义。作为对整体云商业能力的判断的时候，规模不仅仅意味着企业财务的稳定性，还能够带来服务规则的较高成熟度和案例积累的最佳方案。编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第21页 共79页第 21 页 共 79 页2.科

44、技咨询公司评估计算能力模型显示亚马逊 AWS 最强一种评估方式为通过云服务商服务的客户来评估其服务的计算能力。在 2015 年Gartner 发布的 IaaS 魔力象限指标体系中，对具有全球性服务能力的云供应商进行了考察，并做出排名，其中亚马逊 AWS 拥有多元化的客户基础和最广泛的使用案例，包括企业和关键任务应用。亚马逊 AWS 客户使用的云计算能力超过其他 14 个云服务商3总和的 10 倍。而在同一比较维度下，微软 Azure 的计算能力是另外 13 大竞争对手（不包括亚马逊）总和的 2 倍。目前已经有咨询机构开始针对中国云计算市场进行调研，但数据仍然缺乏整体参考性。Forrester

45、Research 发布独立报告Forrester Wave：2015 年第三季度中国企业级公有云平台4，在中国企业云平台市场甄选了主要的云平台服务商并对其进行全方位的评估，其中对微软 Azure 和阿里云5的服务能力打分为 4.00 和 3.75。同期评估中阿里巴巴、微软、和亚马逊则被评为“企业级公有云平台领导者（Leaders）”。本土云服务商未进入国际统一比较体系无法获得整体性数据，上云企业不得不使用一些个案性的信息辅助进行决策。例如，上云企业会参考本行业内使用云的案例进行选择，但是他们仍然希望能够借助第三方机构提供综合性比较结论。在中国，网络环境是制约云服务商计算资源供应的重要因素。云计

46、算的基础技术虚拟化技术、分布式计算、效用计算等，需要通过网络进行即时性连接，从而实现服务的随时随地可获得。因此除了云服务商 本身计算、存储资源的规模外，网络环境成为影响云计算产业功能稳定性的重要变量。当前中国三大运营商之间的网络互联困难是当前制约云计算3这份报告评估的 IaaS 企业，除亚马逊 AWS 外，其余 14 家为：Microsoft、Google、CenturyLink、VMware、IBM（SoftLayer）、Rackspace、Virtustream、CSC、Interoute、Fujitsu、Verizon、NTTCommunications、Joyent、Dimension

47、 Data。4原文名：The Forrester Wave:Enterprise Public Cloud Platforms In China,Q3 2015：The 11Providers That Matter Most And How They Stack Up5该报告未对亚马逊 AWS 和腾讯云在此类上的表现打分。编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第22页 共79页第 22 页 共 79 页服务稳定性重要制约因素。在解决这个问题上，无论是选择分运营商部署、多线多 IP、静态 BGP 或动态 BGP，都将增加企业上

48、云的成本。这甚至成为中国企业选择云服务商的时候必须考虑的运营商本身资质之外的因素。3.亚马逊 AWS 和微软 Azure 都在中国引入其具有全球一致性的权责模式对比五家云服务商的权责模式，较为常见的是亚马逊 AWS 和微软 Azure 采取的明确安全责任共担的模式；腾讯云和电信云没有明确的宣称实现某种模式，但从合同、承诺书等公开文件来看，在实际项目中也划分了责任边界；阿里云则基于中国市场现实需求提出了托管服务，而近期阿里云将安全托管设置为付费可选服务，开始出现划分责任的趋势。亚马逊AWS 倡导其为用户提供安全的云，用户在云中安全运行，权责清晰、绝不僭越。微软 Azure由世纪互联提供和维护云平

49、台，用户在平台中负责维护自身的安全环境。图表 3 国内主流云服务商权责模式比较云服务商责任模式权责模式表现或影响亚马逊 AWS责任共担型评估云计算安全，客户理解和辨别责任共担是非常重要的：亚马逊AWS 提供的云安全服务措施是通过工具和操作保障“安全的云”；客户通过操作亚马逊 AWS 提供的安全内容和应用程序实现“云中安全”。微 软 Azure/世纪互联责任共担型云平台要求客户与服务提供商共担责任。世纪互联负责维护平台，并提供可满足客户的安全性、隐私和合规性需求的云服务。在配置服务之后，客户负责维护其环境，包括其应用程序、数据内容、虚拟机、访问凭据以及遵守适用于其特定行业和区域的法规。阿里云可选

50、托管型阿里云保障平台安全，并通过为客户提供三类安全能力：1）云产品的安全功能、2）云盾安全服务以及 3）安全生态里的第三方安全厂商产品，来满足客户保护云端业务及数据安全的需求。客户自主选择阿里云提供的安全能力保护自己的业务系统。当用户采购云盾“服务器安全托管”服务时，可以为用户提供保姆式托管服务，按照 SLA 提供服务。腾讯云近似责任共担型在其网站公开信息中未明确说明权责模式划分。根据咨询腾讯云客服反馈，相关内容写到与客户签订的合同中。编号：时间：2021 年 x 月 x 日书山有路勤为径，学海无涯苦作舟书山有路勤为径，学海无涯苦作舟页码：第23页 共79页第 23 页 共 79 页天翼云近似