云安全:挑战的不只是技术 云安全产品有哪几家
云计算的趋势已经不可逆转,但企业真正要部署云计算时,却依然顾虑重重。这不是没有道理的。今年4月,云计算服务提供商Amazon(亚马逊)公司爆出史上最大宕机事件,导致包括回答服务Quora、新闻服务Reddit和位置跟踪服务FourSquare在内的一些知名网站均受到了影响。5月,一桩规模最大的用户数据外泄案又在索尼发生。大约有2460万索尼网络服务用户的个人信息疑遭黑客窃取。
难道真如思科CEO钱伯斯所说,云计算是安全的灾难吗?虽然没有那么严重,但正如我国知名信息安全专家卿斯汉在为期4个月的云计算调研中所发现的那样,今天,安全依然是云计算应用最大的瓶颈。而要保证云计算环境下的信息安全,绝非只是创新技术那么简单。
技术之外的空白
亿利资源集团有限公司近期准备部署云计算,该公司总管理中心IT项目经理边力军向《中国计算机报》记者坦言,他很有压力,他担心将企业数据放入云端,数据会被泄露或盗用。“虽然厂商都在说数据放在他们那儿是安全的,但谁能保证呢?要真出了问题,谁能承担责任呢?”他表示。
边力军的困惑在那些即将部署云计算的企业中很有代表性。而数据保护和隐私也正是云安全面临的一个最大挑战。今天,你可以放心地把钱存在银行,却不敢放心地将自己的数据放到遥远的“云”端。
在国家网络信息安全技术研究所所长杜跃进看来,虽然大家都想看到云计算应用得更快一些,但如果安全这个问题没有得到根本解决,云计算的推进将会比较困难。而要保证云计算的安全,涉及很多新的技术问题,但更多涉及到政策方面的问题。
杜跃进认为,要做好云计算安全,需要寻找这样一种机制。在这一机制下,提供云计算服务的厂商会面临第三方的监督,这个第三方和用户并没有利益关系,且受到相关法律法规的制约。只有在这种情况下,云计算的应用企业才可以由此获得中立的第三方的担保。也只有在这个时候,用户才可能放心地将数据放到云端,就像放心地把钱存到银行中去一样。目前,要做好云计算安全,缺失的不只是机制,存储和保护数据等标准同样也有待健全。
云计算环境下,机制和标准的缺失现象,在发达国家和地区也同样存在。美国网络服务公司AmericanInternetServices安全总监但・蔡乐(DanZeiler)表示,目前,“无论是政府还是监管机构都没有对运营方式制定任何规则”。而在日本和新加坡等国家,企业在部署云计算中,都已经让律师和审计师参与其中。
不同于传统的安全,云安全是一个系统工程。传统安全防护往往强调边界的安全,以防火墙、防病毒软件及入侵检测等手段保护边界。但云计算改变了这一模式,它强调的是全面安全保护。
在相对安全环境下部署云计算
实际上,在目前的技术条件下,绝对的云安全不可能实现。那在这种情况下如何部署云计算?
Imperva公司高级安全战略家NoaBar-Yosef告诉记者,对于云计算的安全,技术上确实不能完全保证。在这种情况下部署云计算,应该用基于风险的方法去进行。企业如果要将数据嵌入云端,应三思而后行,从安全的角度考虑清楚,如果把这些数据放在公司内部,成本是多少;把这些数据放在云上,成本又是多少。对大公司来说,数据都是私密性的,安全团队要衡量清楚,一旦出现问题会出现什么后果,而成功实现云计算部署的利益会有多大。但对于资源有限的小公司来说,部署云计算是非常好的做法。
卿斯汉表示,目前,中国有电子政务云、中小企业云、语音云、翻译云、游戏云等。部署云计算,应先考虑商业模式,还是先考虑安全模式,要具体情况具体分析。VMware大中华区技术总监张振伦也认为,企业部署云计算不是一夜之间的事,其目标也不是一定要把数据中心搬到公有云,或一夜之间变成私有云,这是需要一定时间才能走完的一段“旅程”。如果没有这样一段经历,就可能会因为在很多方面考虑不周全而出现问题,这其中就包括安全方面的问题。
绿盟科技副总裁吴云坤认为,安全形势的变化需要我们对安全建设有新思路,要跳出以往单纯的软硬件实体采购的思路,让信息安全回归到其本质――服务上来。启明星辰首席战略官潘柱廷认为,云计算等新兴计算形态给IT带来颠覆性变化,但是总有一些IT根本原理是不变的,也总有一些安全的原则不会改变。
云安全联盟渐成气候
现在,一些针对云安全的独立研究机构已经出现,为相关标准的建立起到一定推动作用。2009年成立的非盈利性组织――云安全联盟(CSA)就是这样一家机构。
作为国际上的行业权威组织,云安全联盟目前已有100多家企业成员,个人会员数量超过25000人。微软、谷歌、思科、戴尔、Novell、CA、VMware和RSA等公司都是其成员。在亚太地区,绿盟科技、网御星云、瑞星、蓝盾、卫士通、启明星辰、华为等公司也陆续加入该联盟。
记者从近日召开的第二届云安全联盟(CSA)高峰论坛上获悉,CSA今年获得了更快发展。CSA创办人之一、执行董事JimReavis介绍说,今年,CSA推出了若干个重要项目,包括云安全指南新版本3.0、云安全事件响应CloudSIRT、CSA知识认证CCSK、CSAGovernanceStack、CSASTAR计划等。CSA已与国际电联组织ITU-T、国际标准组织ISO等建立起定期的技术交流机制,相互通报并吸收各自在云安全方面的成果和进展。云安全联盟正在成为云计算和云安全产业界最为活跃的安全研究和推动力量之一。