云安全：管控最关键 标准难出台

“对于安全，云计算是一场噩梦！”在不久前召开的RSA大会(RSA2009Confer-ence)上发表主题演讲时，思科董事会主席兼首席执行官约翰·钱伯斯语惊四座。

 

话音刚落，亚马逊的“云计算门”便为这一悲观论调加了重重的注脚。从美国当地时间7月19日开始，亚马逊包括EC2在内的6项云计算服务发生故障，出现数据包丢失现象。而EC2分别于2008年和2007年发生过大范围故障。

 

但是三天后，7月22日，全球500强之一的中国中化集团公司(以下简称“中化”)却在北京高调宣布，IBM为其成功打造了企业云计算平台。据有关方面介绍，这不仅是中国第一家，也是世界第一家企业云计算平台。中化信息技术部总经理彭劲松称：“企业云计算平台更加强了中化核心信息的安全性。”

 

安全还是不安全？对云计算而言，这的确是一个问题。

 

云安全没有终点

 

IDC中国企业级系统研究部研究经理周震刚在接受《中国电子报》记者采访时曾表示，数据的安全性对于大多数企业用户来说是压倒一切的指标。即使云计算平台性能再好，价钱再便宜，如果安全性无法得到保障，也会被用户直接否决掉。

 

IBM大中华区云计算中心项目总监朱近之女士认为，企业对云安全问题谨慎考虑是一种正常的行为，无可厚非，“特别是当这个问题发生在企业边界之外的时候”。

 

其实，当天参加中化企业云计算平台落成仪式的许多业内记者都明白，企业云就是业界常说的“私有云”，它是居于企业防火墙以里的一种更加安全稳定的云计算环境。

 

显然，中化并未完全打消对于云计算安全性的顾虑。对此，彭劲松也不讳言。他承认，“安全性确确实实是我们前期考察的重点”，而且贯穿于整个项目。

 

然而，在舆论声中，云安全问题是否被夸大了？起码在世纪互联副总裁蒋健平看来确实如此。他认为，用户需要现实地比较现有的基础设施服务与云计算服务提供商所提供的安全服务。云计算服务在对新安全技术的采用和部署速度上，以及自身所具有的安全特性上，均比用户原有的基础设施服务更具优势。

 

“在现有的IT应用环境下，安全方面需要投入的费用和应用复杂性成倍增长，目前国内大部分企业几乎都无力保证自己的信息安全。因此，他们恐怕也不可能比云计算服务商做得更好。”蒋健平说。

 

朱近之则表示，大家对云安全心存疑虑有一部分原因是对云的分类还不是很清楚。公共云依赖第三方厂商提供服务，而对于重要数据不愿意放在防火墙以外的企业，可以打造自己的私有云。她认为：“当公共云和私有云并存，追求安全性的企业会倾向于建立私有云，而追求性价比的用户则会倾向于使用公共云。”

 

鉴于云计算安全结构可以分为物理、传输、应用三个层面，周震刚表示，保障云计算的切实安全可靠也需要从这三个层面同时入手。首先是物理层面，对云计算数据中心的监控、出入人员授权等都要进行严格的管理；而在传输层面，要保障用户通过互联网接入云计算中心后进行数据交互的安全，通过对数据加密保障数据在传输中的安全；最后是对于云计算应用和数据在服务器端的安全性管理，要保障各个应用的访问独立且互不影响。

 

即便如此，云安全只有起点没有终点，因为安全威胁是动态变化的，相应的，安全技术亦永远处于不断前进之中。再好的技术也需要完善的流程加以管控，从而保证其正常发挥作用。朱近之认为，“这一点在安全领域尤其重要”。

 

云安全也是一种服务

 

那么是否能够利用云计算的方式促进云安全的发展，甚至将云安全也作为一种云计算服务呢？

 

显然，这是个有趣的话题。不过，至少中化认为这种做法是可行的。彭劲松的一句“企业云计算平台更加强了中化核心信息的安全性”，曾令不少记者印象深刻。

 

从理论上讲，云计算的强大数据运算与同步调度能力，可以极大地提升安全公司对新威胁的响应速度。金山毒霸互联网安全研发中心产品经理韩正奇认为，响应时间快了对用户来说也是一种服务：可以第一时间将补丁或安全策略分发到各个分支节点。

 

瑞星副总裁卢青则称，随着云安全技术的不断发展，用户的客户端防御系统将变得更加智能化、个性化；客户端的安全功能协作将深入不同类的上网设备。“云安全改变了反病毒行业。”卢青说。

 

朱近之透露，典型的云计算安全服务包括：远程数据保护、云计算灾备、远程安全漏洞扫描等，“这是云计算的一个很大的市场”。

 

据她介绍，狭义的云安全性包括数据的私密性，而广义的云安全性包括数据可靠性、可用性及持久性。为了实现安全，用户不仅需要投入大量的资金用于购买相应的软硬件和解决方案，更需要长时间的团队建设。朱近之认为，不是每个客户都是云安全专家，而传统的安全提供商一般只提供解决方案，这也就给了专业的云安全提供商一个很好的发展契机。“云计算从出现伊始就是促进互联网安全发展的。”蒋建平旗帜鲜明地表示。他告诉记者，云计算的基本理念是，从由多个计算机组成的巨大资源池中获取计算能力、存储空间等，云计算服务提供者特别是基础设施服务提供者一般都为规模比较大的服务提供商，可以让众多的中小客户共享他们在信息安全方面的专业化经验。数据中心的管理者可以对存储在一个或者若干个数据中心的数据进行统一管理，负责资源的分配、负载的均衡、软件的部署、安全的控制，并能够实施更可靠的安全实时监测，同时，还可以降低使用者成本。

 

蒋建平认为，从这个角度说，既可以用云计算来促进云安全的发展，也可以将云安全作为一种云计算服务。

 

云安全标准难产

 

业内对“云安全”的技术争论，很大一部分集中在标准的制定上。虽然每个云服务供应商都部署了安全措施保护存储在其服务器上的数据，但目前云安全标准繁杂，并且仍然没有公认的云安全标准。在这种状况下，最大的受害者可能是IT企业。

 

企业应用咨询公司的首席分析师认为，在针对云计算体系架构的安全模式和标准出台以前，多数可能面临的风险和损失就直接落在了IT企业的肩上，而不是由云计算服务供应商来承担。

 

然而，不少业内人士并不赞成现在就建立云计算标准，认为这样反而会限制云计算服务发展的多样化，可能无法使用户受益。蒋建平就是其中一位。他的观点是：“云计算还处在发展的初期，并且云计算服务涉及IT基础设施、平台、应用多个方面，涉及了太多的技术、服务接口、商业模式、存取方式等，目前很难制定一个统一的标准。”

 

蒋建平以互联网为例说：“除了技术上大家共同遵循的RFC(请求注解)开放标准以外，在服务上则是百花齐放。”他表示，与标准相比，云计算的开放性和建立SLA(服务等级协议)显得更为迫切。据其介绍，为此，世纪互联在推出的弹性计算、云备份、云存储等几个云计算服务中正逐渐引入SLA，并为开发者按需存取计算和存储资源提供开放的API(应用程序编程接口)。

 

韩正奇认为，由于受到很多因素的制约，短时间内不会有一个统一的云安全标准。如果说未来有可能由谁来制定这个标准，那么制定者的云安全技术一定居于行业领先地位。他强调，技术是否在行业内领先由用户说了算，“如果用户用了你的‘云安全’电脑一年都没有中过病毒，那你的云安全就成功了一半。”

 

朱近之指出，安全标准的制定需要结合行业技术标准和国家法律法规，一方面需要涵盖技术规范，另一方面需要规范运维流程。一个主要的原则是应采用开放的框架，避免局限于少数厂商的专有技术。然而，当前一个较为突出的问题是，对云计算服务提供商的安全能力公众并没有一个评估的办法，无法进行量化考核，因而只能依赖于对品牌的信任。

 

三“朵”云

 

目前，业界将云计算按照运营模式分为三种：公共云、私有云和混合云。

 

公共云是通过云计算提供商自己的基础架构直接向用户提供服务，用户通过互联网访问服务，但并不拥有云计算资源。

 

私有云是在企业内部搭建的云计算环境，面向内部用户或者外部客户提供云计算服务。企业拥有云计算环境的自主权，并可基于自己的需求改进服务，进行自主创新。

 

混合云是企业既有自己的云计算环境，同时也使用外部公共云提供的服务。

 

提供云计算解决方案的厂商大约分为三个层面：SaaS(软件即服务)、PaaS(平台即服务)和IaaS(基础架构即服务)。

 

观点

 

IBM大中华区云计算中心项目总监朱近之：

 

两种力量推动云安全市场增长

 

云安全市场增长的推动力主要有两方面，一方面是云计算本身的发展，当云计算中心的用户越来越多时，相应的安全需求也会越来越多，这样会产生一系列针对“云”中数据安全性的服务和产品。另一个推动力是企业针对已有数据安全的投入。这部分数据仍然位于企业自己的数据中心内，但是以云计算形式提供的安全服务的使用可能更方便，成本更低。

（编辑：淮安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!