中国IDC圈8月25日消息:问五个不同的人关于云计算的安全问题,您很可能会得到五种不同的观点。
云计算的发展是如此迅猛,但相关学科,如云计算的安全问题却很难跟上。诸如多重租赁(Multi-tenancy)和联盟用户认证等云友好的概念就挑战着安全厂商必须拿出新的和更好的应对措施。但正当他们准备好应对一种问题的解决方案的时候,云计算很可能又产生了一套新的安全挑战。
关于云计算的安全问题,很可能没有统一的标准答案,因为即使连标准也很难跟上快速创新的步伐。但一定有某种规范,使云安全的关键结构和协议的相关概念更趋于合理。
这便是非营利性机构云安全联盟(CSA)发挥用武之地的时候了,该机构成立于2009年,迄今已拥有20,000名会员,并定期发表安全和云计算领域的相关领先理论。云安全联盟董事会成员兼SallieMae公司首席问题官解释说,该组织并没有渴望成为一个标准体,但他们会努力向用户包括IT审计师、云计算和安全解决方案提供商推广最佳做法。
CSA的成果之一是其GRC堆栈,这是一套工具,以帮助人们根据行业最佳实践、标准和关键的合规性要求评估云。与CSA所推出的其它所有工具一样,所有机构成员都可以免费下载GRC堆栈。
在我们与Archer的交谈过程中,他更多的解释了CSA是如何运作的,以及CSA不仅要解决在云中的安全问题,还涉及云计算将如何提高每个人的安全。
他向我们详细描述了CSA所做的工作:
我们主要致力于五大领域。一、发展相关战略,特别是围绕您如何进入云计算领域,您需要关注哪些问题。二是教育问题,对人们进行云计算安全问题方面的教育。三、我们正围绕着云计算的审计和相关规定推出最佳实践框架,我们推出了云框架典型的SAS70控制方案和其他审计制度。四、我们正在寻求评估方案:如何评估云安全。五、我们还在探索云计算领域未来会发展出何种技术。
CSA如何确定项目?
CSA实行严格的组织资源或云资源。我们现在有20,000名会员,任何一家会员均可以提出他们的想法。如果由您所在的企业主导,人们将开始与您的合作,然后您的企业就可以得到认可。
在开始的时候,我们没有研究经费。今天,我们有资金了,因为我们有企业赞助,我们也有基金。但是,保持客观性对我们非常重要,所以我们的董事会需要不断的检查,以确保没有供应商的超额赞助,造成在某一领域的研究资金过多的现象。我们不想受制于任何一家公司的规定。
您曾经说过,CSA并不打算创建类似于SAS70或PCI之类的所谓的硬性标准。那么,您如何看待您所在的组织机构为云计算产业所作出的贡献呢?
我们认为行业标准应当由诸如国际标准化组织(ISO)以及其他一些机构来创造。我们经常与现有的标准组织一起合作,提供咨询和指导工作,但我们觉得如果我们不依赖于任何特定的标准的话,我们可以更加灵活。我们与国际标准化组织(ISO)和国际电信联盟(ITU)都正式缔结了联盟关系。实际上,我们为这些联盟提供我们的研究和资源,以协助他们的工作。我们也正在与NIST合作,并且我们随时准备与任何其他标准组织建立合作伙伴关系。
您认为用户要求云服务供应商尽可能的详细提供安全措施的权利,与供应商要求在安全方面保证商业秘密的权利之间是否存在冲突?
供应商可能永远不想透露给任何人关于他们是如何配置防火墙之类的事情。另一方面,存在着大量的信息,如果这些信息能够正确的传达,从合规或安全的角度来说是非常有用的。
如果我们撇开夸张的事实不谈,从云计算消费者的角度出发,我是否可以从您这里得到足够关于我的云是如何运行的;其安全性如何等等信息?并同时告诉我,我需要具备哪些知识;我是否可以信任我所在的环境?
其实,从消费者方面来说,随着应用程序日益仪表化,使他们能够自己确定他们是否处在正确的环境,一切都会变得更加简单。DARPA曾进行了大量关于多租户环境的研究,他们希望那个能够通过努力使得应用程序能自动报告其环境的安全性。
如何检测应用程序的工作?
举一个简单的例子,应用程序知道它应该在哪里。它知道它应该是运行在什么样的电脑、什么操作系统上,当处于合适的环境里会自行建立一个指纹,确定补丁级别等等诸如此类的。
它可以测试代码的有效性,如果答案错误,您自然就会知道了。您可以学习大量的知识,以便了解应用程序所运行的各种环境。
CSA认为云计算的未来如何?
我们大部分的精力仍然是重点关注与建设云计算的基本元素。但理论方面的领袖可以帮助影响战术方面的基础建设,并且这些战术是可以转让的,所以我们没有必要拆除基础部分,并在云中的另一个周期都来进行重建。
就未来的技术而言,我认为任何人告诉您说他们已经可以预见到未来两年云计算的发展状况的说法都是很天真的。一切皆在变化,我们无法预测的所有变化的后果。从大型机到分布式系统都是不同的,唯一可以确定的是:云计算将改变一切。
当MIP的成本几乎为零时会发生什么?储存成本几乎为零时,又会发生什么?
未来每个人都与云计算息息相关,而且云安全也将继续发展。例如,完全同态加密会让我没有解密处理的数据。当我能做到完全同态加密时,我可以把我所有的数据都放在云,实行完全加密。这样就带走了威胁,不是吗?
问题是,如何运行完全同态算法,会比我们今天花费更多的处理能力。但在摩尔定律涉及到之前,它只是一个时间的问题。
所以,云安全能够保持与云计算的同步发展吗?
当然,安全实际上会改善云。像SallieMae这样的财务公司,以及其他采用云计算的公司将需要比他们现在更好的安全需求。
对云服务提供商的各种需求将转化为相同的结果。所以,今天那些负担不起良好的安全性的小企业会随着大企业纷纷升级采用更先进安全的技术而获得副产品,从而获益。我们将会有大的软件供应商可以提供有效的安全解决方案。安全性将在云中得到提高,我们将在未来有更好的安全性。