首页 > 技术文章 > 安全为本,云计算任重道远

安全为本,云计算任重道远

2009年6月8日 发表评论 61 views 阅读评论

云计算是当前最热的IT词汇之一,狂热支持者有之,大力推行者有之,冷静观望者有之,以其“引起歧义”号召消灭它的亦有之。不管怎样,业界的大腕们已经下场了,IBM, Google, Microsoft, Amazon, 等等。CSA (Cloud Security Alliance)列出的IAAS, PAAS, SAAS三层云计算提供商名单已是林林总总。或许是限于国际市场交流,上面还没有中国厂商的身影。实际上,已经有几家先行者了。

云计算的安全有两种方向。其一是借用云计算这种形式,来改造、演化相对传统的互联网安全服务,安全大师Bruce早在2006年就对此有过精彩的评论(http://www.schneier.com/blog/archives/2006/02/security_in_the.html)。当前市场上声音比较大的就像Trend Micro, 国内的瑞星, 还有一些网络扫描漏洞管理厂商,这是比较直观的一个安全拥抱云计算的途径(我“云”了,你“晕”了没有,呵呵)。我在很多年前写过一个帖子叫“安全自动化杂谈”(http://sbin.cn/blog/2000/08/29/security-automation/), 其中的概念已是“云”化的安全了, 呵呵
其二呢,是开发云计算体系中的安全环节,例如RSA在其云计算安全白皮书中,列举了在供应商管理、技术标准、数据可迁移性、数据机密和隐私、访问控制、符合性、以及安全服务水平等方面的安全考量点。记住这里面每个词汇都包括很多很让人充满想像空间的技术要点。白皮书总结了三大类云计算安全要素:身份(Identity)、基础设施(Infrastructure),信息(Information),简称I3吧。Gartner在其最近的一篇白皮书 “Teleworking in the Cloud: Security Risks and Remedies”(http://www.gartner.com/resources/167600/167661 /teleworking_in_the_cloud_sec_167661.pdf)中也列举了使用云计算服务时应该考虑到的安全风险。这些安全风险的处置可能带来崭新的商业机会。

云计算和早年的数据集中、前些年的IBM的ON-Demand, HP的Adaptive Enterprise,Microsoft的Dynamic Enterprise等都是一脉相承的。其实,大型企业或多或少地都已经参与其中。作为一个企业的IT部门,所以,云计算是不可忽视的一个新技术方向。 CFO, CEO, CTO, 可能会问CIO,CIO可能会问中层经理或架构师,”云计算能帮我们什么?”, “我们如何利用云计算省钱?”,简单地回答“那还很遥远”,“和我们关系不大”,“那是消费市场和中小企业玩的东西”,显然不是明智的回答,不能让提问者满意。

McKinsey在其报告“Clearing the air on cloud computing”中给CIO的建议是“不要对建设企业专有的“云”平台抱有过高的期望,而是应该更加专注地先做好服务器、存储的虚拟化和网络运行等,这些都会带来立竿见影的效果”。从财务角度看,云计算带来的最大变化是一次性的资本支出(CapEx)变成了每月、每季度、每年的运行性支出 (OpEx)。但是在保持服务水平的同时能否带来立即的成本下降,有很多风险和不可预见因素在其中。在肯定云计算给中小型企业带来明显成本下降(甚至实际的服务水平上升)同时,McKinsey认为当前云计算的投入回报水平比不上现有的大型企业自己完善的数据中心高。

CSA 的创始人Craig Balding在其欧洲Blackhat大会上的演讲中提到当前云计算提供商的服务水平SLA是惨不忍睹的。在其服务条款中,推掉了几乎所有的安全责任。对于大型企业的IT合同管理来讲,这简直是难以想象的。当然,对于大型企业重要客户,可能会重新谈判SLA,而不是直接使用公开市场上的模板。

在你能够确认IT的责任被云计算提供商有效地承接之前,建议不要轻易动“公共云”的主意,除非你认为那是一些“不怎么重要”的服务。下面一幅漫画,不知道作者本意如何,我把它解释成云计算服务失败对于大型企业IT部门的灾难性后果。

我个人给大家的推荐是:
1 作为个人,参与并置身其中,发现商业机会,可能会给自己一个惊喜,也未可知
2 作为IT部门,熟悉相关技术产品Offering和商业条款, 与相关厂商进行技术和商业交流,知己知彼,
3 作为IT产品管理部门,评估并优化自己企业的产品组合(Product Portfolio),借力互联网和云计算
4 作为信息安全专业公司,风险评估(包括渗透测试)、终端安全、身份和访问控制(也包含信任管理)、安全审计、Web应用和生命周期安全等等都是非常相关的领域,建议关注。

from:http://sbin.cn/blog/2009/06/01/cloud-computing-1/

随机日志

分类: 技术文章 标签:
  1. 本文目前尚无任何评论.
  1. 本文目前尚无任何 trackbacks 和 pingbacks.