作 者:绿盟科技 韩永刚
纵观此次RSA 2009 Conference,云计算(Cloud Computing)与SaaS无疑是一个热点问题。你会感觉有无数的论坛与专家在关注云计算与SaaS的安全问题。不论从Keynote主题演讲中的钱伯斯、著名密码专家Whitfield Diffie、Ronald Rivest,Qualys的CEO Philippe Courtot,以及各个领域的安全专家都在讨论云计算、云安全、SaaS方面的问题。我们正在思考,但还没有明确答案的各种问题,也在各个会场被激烈讨论着。云与SaaS本已是热点,再加上安全,你能够理清思路吗?云计算、安全的云计算、云安全、Software as a Service、Security as a Service、Security as a (Cloud) Service…
焦点1:云的安全
钱伯斯在RSA Conference第二天的主题演讲中,提到云计算时语出惊人:“对于安全,云计算是一场噩梦”。注意,他并不是对云计算有何异议,因为老钱同志也认为云计算是不可避免的趋势,而且云计算的发展肯定对Cisco的发展有着巨大的意义。但是由于云计算所引发的新的安全问题,则又是很难预测的。这些问题甚至会动摇我们已经形成的网络安全的体系方法。“它是网络安全的噩梦,而且无法采用传统的方法来解决”。
无独有偶,在几位著名的密码专家论坛上,云计算也成为了话题。虽然专家们有的对云计算的前景非常的看到,但云计算产生了与以往不同的新安全问题也是共识。而这些安全问题,是我们无法回避且必须付出很大的努力来解决的。当然对解决云计算安全问题持悲观态度的人也在少数。
焦点2:*aaS的安全
另一个方面,SaaS也是热点议题。对于SaaS这种模式,安全问题存在与它的各个层次:基础设施、平台、上层应用。对于三个层次,所面临的安全问题是不同的。比如对于IaaS(Infrastructure as a service),数据中心建设、物理安全、网络安全、传输安全、系统安全是主要的关注点。而对于PaaS(Platform as a Service),数据安全、数据与计算可用性、灾倍与恢复问题则更受关注。而到了最高层的SaaS(Software as a Service),则对于数据与应用的安全问题更为关注。而且,当SaaS架构在云计算这个平台上时,最高层的这些安全问题很多是不可知,不可控的。原因在于,使用者再也无法自己实际掌握对安全便捷与数据的控制权。
观点:绿盟对云安全的认识
从我们的角度看来,云只不过是另一种数据中心,数量更多且分散的数据中心的集合,使得访问与使用更加的快速、便捷。再加上云端的SaaS应用,能够为众多企业,尤其是中小企业,带来更便捷、成本更低的、无所不在的IT服务。但同时,云计算与SaaS也带来了新的安全问题,与以往我们经验中不同的安全问题。因为在云中,没有边界,云计算与SaaS的使用者自己再也无法控制边界,控制数据,甚至都不确切的知道数据在什么位置上。而服务提供者往往还要同时面对IaaS, PaaS, SaaS三个层次的安全问题。
从云的外部,用户看不到云里面是什么样子的,也就是说云是不透明的。服务提供商承诺了会提供各种层次的安全方案,从网络层到应用层,数据保护,以及可管理的安全服务。但是作为云外的用户,你真的知道这些安全特性被提供了吗?或者说,这些安全措施的结果,是你所期待,且满意的吗?这可能也是很多企业对云计算望而却步的原因,也是众多安全专家的争论所在。不过换个角度,对于很多本来就没有能力进行安全体系建设与维护的用户来说,看不清云的内部也不见得是件坏事。
随之而来的问题:云计算如何进行审计与监管?现实中的各种信息安全问题在云端依然存在,只不过之前是用户自己能看到的,而现在反而距离用户更远了,也更为离散。如果像钱伯斯说云计算可能是无法避免的趋势,当然这还要最终的用户能够认可。那么我们真的需要更多的工作,来接受这种新模式并克服它所带来的新安全问题。
未完的故事
其实涉及这方面的待解问题还有很多,比如在IaaS中,虚拟化(Virtualization) 技术被更多的应用,物理边界变成了逻辑边界,对于安全的思考也会变化。再者,除了讨论安全的云,我们也能够同时利用云计算的方式,来促进安全的发展,将安全也作为一种云计算服务。新的事物总是能够带来新的挑战,迎接这种挑战,正是我们不断前进的动力。当这些问题正在被激烈的讨论时,你,准备好了吗?