有一次我在湾仔的咖啡店里,正琢磨着怎么把我们那套老掉牙的ERP系统迁到香港云服务器上,结果隔壁桌俩人聊得贼大声,内容全是“你们公司怎么做身份认证的?”,我一边喝着冻柠茶一边偷听,心里还在想,这玩意儿不就用户名密码嘛,能有多复杂?结果后来自己真上手,才发现,哎哟,水还挺深的,尤其是在香港这边,政策、合规、技术全都搅一块,头都大了。
香港云服务器身份认证
说起来,香港的云服务器,表面上看跟内地没啥两样,阿里云、腾讯云、AWS、Azure全都有,选起来还挺花眼的。可一旦涉及到身份认证,尤其是企业级的,麻烦事儿就来了。比如我之前在Stack Overflow上看到有个哥们问,香港云服务器能不能直接用内地的实名制认证?底下评论一堆,有人说可以,有人说不行,吵得跟菜市场似的。其实吧,香港这边对实名制的要求没内地那么死板,更多是看你用云服务干啥,如果你是做金融、医疗、博彩(这个最敏感),那身份认证就得老老实实按香港本地法规来,什么KYC(Know Your Customer)、AML(反洗钱)都得上,搞得跟银行开户似的。
我记得有一次我们公司要在AWS香港区开一台云服务器,结果AWS那边突然发邮件说要补充公司注册证明、董事身份证明啥的,我当时还纳闷,明明个人账号都能开,怎么企业就这么麻烦?后来才知道,AWS在香港区对企业身份认证查得特别严,尤其是涉及跨境业务的时候。有人跟我说,这其实是因为香港本地有《个人资料(私隐)条例》(PDPO),云服务商怕惹麻烦,宁可多要点材料。对了,顺便说一句,PDPO这个条例我之前还真没仔细看过,后来在香港特区政府网站上翻了半天,发现它对数据处理和身份认证的要求比我想象中细致多了(Office of the Privacy Commissioner for Personal Data, Hong Kong, 2023)。
其实我一开始还以为,搞个Google Authenticator或者短信验证码就能糊弄过去,结果发现,很多香港本地企业根本不信这些,非要用什么e-Cert(香港的电子证书),甚至有的还要求接入本地的iAM Smart(一个政府推的数字身份平台),说白了就是怕数据被外泄,或者身份被冒用。说实话,这玩意儿接起来真挺麻烦的,尤其是e-Cert,得跑去指定机构申请,流程贼繁琐。我有个朋友在一家做金融科技的公司,他跟我吐槽说,光是搞e-Cert集成,开发团队就折腾了小半年,最后还得请外包来收尾。
不过也不是所有云服务都这么死板,比如有些小型云服务商,身份认证就随便多了,甚至有的只要邮箱验证,连手机号都不用。可问题是,这种服务你敢用吗?我反正不敢,万一哪天数据被黑了,客户找上门来,甩锅都没地方甩。其实我觉得,身份认证这事儿,说难也难,说简单也简单,关键看你做什么行业,客户是谁,合规要求有多高。就像我在《Practical Cloud Security》这本书里看到的,作者Timothy Grance提到,云身份认证最怕的不是技术不行,而是流程太乱,谁都能绕过(Grance, T., 2021)。
对了,差点忘了说,香港这边有个挺有意思的现象,就是很多企业喜欢用混合云,部分数据放本地,部分放云上,身份认证也搞成两套,结果经常出问题。比如有次我们客户的员工用本地AD账号登录云服务器,结果权限对不上,搞得IT部门天天加班。后来我才明白,身份认证这事儿,最好还是统一做,不然出事了真没人兜底。
说到这儿,我突然想起来,前阵子有个同行跟我说,他们公司为了省事,直接把云服务器的root密码发到微信群里,结果被人盗号,损失惨重。你说,这事是不是挺离谱的?哈哈,反正我现在是再也不敢小看身份认证了,尤其是在香港这种地方,政策、技术、合规全都得顾着,稍微马虎点,麻烦就来了。
其实我也说不准,未来香港云服务器的身份认证会不会变得更智能,像AI自动识别啥的,但目前来看,老老实实按规矩来,别想着投机取巧,才是最靠谱的。要不然,真出事了,哭都来不及。
