从终端到云端 安全有待拨“云”见日

云计算,不容置疑是当今IT界讨论最热的话题之一。有人说,云计算的核心思想,是将大量用网络连接的计算资源统一管理和调度,构成一个计算资源池向用户提供服务。提供资源的网络被称为“云”,所以“云”只是一种特殊“网”的叫法。而在用户看来,云就是一种服务,一种按需获取、按需付费的服务,类似于现在的用水用电。

上面这种说法在概念上基本达成了共识,可在实际架构和应用中,厂商们都将自己的产品贴上云计算的标签且定义不统一,使得企业和用户一头雾水,不知从何下手。其中,对云计算持观望态度的一个重要原因还有安全性。

一些杀毒软件厂商已经推出了云安全服务,他们依靠云计算这种巨大的资源平台收集、分析病毒代码,然后为终端用户杀毒。也有厂商称其到处收集病毒代码,然后在云端搭建自己的“云安全”系统。但这两种都不是我们所说的安全问题,他们更像是借助云计算平台而提供的安全服务,且这种服务的有效性还有待考证。我们关心的是云计算本身的安全,或者说是云的安全,即将来我们在使用云时,如何保证它是安全可靠的。

很多人认为有了云计算后,终端就像是一个只发送和接收东西的设备,那么对终端的安全要求是否就降低了?在近日的RSA大会上,本站记者采访了RSA(EMC安全事业部)首席安全架构官Rashmi Knowles,她表示,如果你在虚拟桌面上,你只会看到跟你相关的图像出现。这些数据没有存储在终端中,它是存储在云中的,在终端只是需要进行认证,不需要额外的加密。我们在终端需要做的就是,确保正在使用的数据安全并进行防止数据丢失的管理。如果我们使用敏感数据,就要确保这个数据不会被拷贝到U盘中或者是打印下来,我们要对数据进行保护和控制。

图为RSA(EMC安全事业部)首席安全架构官Rashmi Knowles在采访现场

当你觉得通过云端存储信息或进行各种操作与在本地进行是一样的时候,或许就是云的安全基本实现。但是如何使你信任云呢?没有无缘无故的信任,这种信任必须通过一系列规则来实现。Rashmi Knowles谈到,要想应用云,企业必须学习新的方式来实现对风险、威胁和合规表现的可预见性。在云中建立信任的规则,就是实现对云环境下的基础设施、身份和信息的控制和可见性。

这种控制和可见性要通过具体的安全技术来实现。可以对数据进行加密,部署数据防泄漏;可以对用户身份进行强认证和管理;可以对基础设施部署虚拟化技术。但这些都是应用传统的技术确保局部安全的方法,且用在云计算环境下有很多困难,比如加密和解密的困难。一套针对云的安全的完整防护体系有待建立。Rashmi Knowles也表示,关于云的安全,还没有真正的行业云安全标准,目前只有云安全联盟发布了一系列的标准。

前段时间,Google和Facebook在说服美国议员修改《电子通讯隐私法》(简称ECPA法案)。原因之一就是他们觉得如果用户把数据存在本地,会拥有更多的隐私权,这阻碍了向云的过渡。对此,Rashmi Knowles说道,“像Facebook的很多基础设施都是基于云端的。如果ECPA法案不进行修改,他们是无法从中获益的。虽然现在在议会当中,这方面的讨论非常多,但具体形势,我们还是要拭目以待。这个方案是1986年的,已经不符合时代潮流了。但除非是对基于技术的考虑修改它,否则我们的工作会很难推进下去。”

在这种技术模型尚未清晰,法案规则尚不健全的情况下,整个IT界都需要冷静下来脚踏实地地考虑如何实现云计算的最优模式,包括它运行后的商业模式,而不是大肆的炒作和宣传。