安全为本,云计算任重道远
云计算是当前最热的IT词汇之一,狂热支持者有之,大力推行者有之,冷静观望者有之,以其“引起歧义”号召消灭它的亦有之。不管怎样,业界的大腕们已经下场了,IBM, Google, Microsoft, Amazon, 等等。CSA (Cloud Security Alliance)列出的IAAS, PAAS, SAAS三层云计算提供商名单已是林林总总。或许是限于国际市场交流,上面还没有中国厂商的身影。实际上,已经有几家先行者了。
云计算的安全有两种方向。其一是借用云计算这种形式,来改造、演化相对传统的互联网安全服务,安全大师Bruce早在2006年就对此有过精彩的评论(http://www.schneier.com/blog/archives/2006/02/security_in_the.html)。当前市场上声音比较大的就像Trend Micro, 国内的瑞星, 还有一些网络扫描漏洞管理厂商,这是比较直观的一个安全拥抱云计算的途径(我“云”了,你“晕”了没有,呵呵)。我在很多年前写过一个帖子叫“安全自动化杂谈”(http://sbin.cn/blog/2000/08/29/security-automation/), 其中的概念已是“云”化的安全了, 呵呵
其二呢,是开发云计算体系中的安全环节,例如RSA在其云计算安全白皮书中,列举了在供应商管理、技术标准、数据可迁移性、数据机密和隐私、访问控制、符合性、以及安全服务水平等方面的安全考量点。记住这里面每个词汇都包括很多很让人充满想像空间的技术要点。白皮书总结了三大类云计算安全要素:身份(Identity)、基础设施(Infrastructure),信息(Information),简称I3吧。Gartner在其最近的一篇白皮书“Teleworking in the Cloud: Security Risks and Remedies”(http://www.gartner.com/resources/167600/167661/teleworking_in_the_cloud_sec_167661.pdf)中也列举了使用云计算服务时应该考虑到的安全风险。这些安全风险的处置可能带来崭新的商业机会。
云计算和早年的数据集中、前些年的IBM的ON-Demand, HP的Adaptive Enterprise,Microsoft的Dynamic Enterprise等都是一脉相承的。其实,大型企业或多或少地都已经参与其中。作为一个企业的IT部门,所以,云计算是不可忽视的一个新技术方向。CFO, CEO, CTO, 可能会问CIO,CIO可能会问中层经理或架构师,”云计算能帮我们什么?”, “我们如何利用云计算省钱?”, 简单地回答“那还很遥远”,“和我们关系不大”,“那是消费市场和中小企业玩的东西”,显然不是明智的回答,不能让提问者满意。
McKinsey在其报告“Clearing the air on cloud computing”中给CIO的建议是“不要对建设企业专有的“云”平台抱有过高的期望,而是应该更加专注地先做好服务器、存储的虚拟化和网络运行等,这些都会带来立竿见影的效果”。从财务角度看,云计算带来的最大变化是一次性的资本支出(CapEx)变成了每月、每季度、每年的运行性支出(OpEx)。但是在保持服务水平的同时能否带来立即的成本下降,有很多风险和不可预见因素在其中。在肯定云计算给中小型企业带来明显成本下降(甚至实际的服务水平上升)同时,McKinsey认为当前云计算的投入回报水平比不上现有的大型企业自己完善的数据中心高。
CSA的创始人Craig Balding在其欧洲Blackhat大会上的演讲中提到当前云计算提供商的服务水平SLA是惨不忍睹的。在其服务条款中,推掉了几乎所有的安全责任。对于大型企业的IT合同管理来讲,这简直是难以想象的。当然,对于大型企业重要客户,可能会重新谈判SLA,而不是直接使用公开市场上的模板。
在你能够确认IT的责任被云计算提供商有效地承接之前,建议不要轻易动“公共云”的主意,除非你认为那是一些“不怎么重要”的服务。下面一幅漫画,不知道作者本意如何,我把它解释成云计算服务失败对于大型企业IT部门的灾难性后果。
我个人给大家的推荐是:
1 作为个人,参与并置身其中,发现商业机会,可能会给自己一个惊喜,也未可知
2 作为IT部门,熟悉相关技术产品Offering和商业条款, 与相关厂商进行技术和商业交流,知己知彼,
3 作为IT产品管理部门,评估并优化自己企业的产品组合(Product Portfolio),借力互联网和云计算
4 作为信息安全专业公司,风险评估(包括渗透测试)、终端安全、身份和访问控制(也包含信任管理)、安全审计、Web应用和生命周期安全等等都是非常相关的领域,建议关注。
现在的人哪,前两年俺的一个放在公司主页上的宣传材料,就被别人署名并作为文章发表了当然不是什么重要的杂志,可惜给放在网上了;因不是重要的人,俺也懒得管了,呵呵。
原创越来越少了,copy引用越来越多了,而且一引用就变成了通篇引用。 只能在正文当中找个地方署名啊。或者干脆写成英文的。翻译麻烦,也就不copy了。
大型主机托管服务提供商Rackspace的CTO John Engates认为透明性在当前的云服务竞争中可能成为关键竞争要素。能够主打“透明”牌的厂商获胜的概率更大。John列举了一些透明性方面的例子。我翻印并加工了一下。希望John不介意。
物理上来看,云服务在哪里?数据中心在哪里?可以参观吗?灾备系统和计划是怎么样的?
使用你的云服务后,数据可以、如何拿出来?
在内部后台的数据处理、转移、存储过程中,有没有采用透明或者不透明的加密措施?如何管理密钥?
我的数据删除后,是不是真正地物理上删除了?还有没有其他copy?
你如何保证你的员工或其他客户非授权访问我的数据?
你的云中有没有发生入侵和数据泄漏事件?现在对哪些安全业界标准实现了符合性?
现在支持哪些认证方式?对于我的客户?对于维护人员?
当我的外审或内审需要时,你们会如何配合审计?有额外费用吗?
Dennis Barker的原文见:
http://www.on-demandenterprise.com/features/26061379.html?viewAll=y
还有下面这个网站,请尊重知识产权和版权,转载注明作者出处!
安全为本,云计算任重道远(图)
安全中国 http://www.anqn.com 更新时间:2009-06-04 02:38:48
责任编辑:高远
IT专家网做了转载,又没有注明作者和出处URL。给编辑留言邮件,都不通。我不明白这个专家网的工作效率,为什么能够生存、生存的意义是什么。我假设其网编或署名的责任编辑杨俊先生还能过来浏览,看到这个留言。
请尊重知识产权和版权,转载注明作者出处。