【IT168 评论】 9月1日消息,CA Technologies于8月30日在北京举行了2010安全解决方案日活动。会上,CA Technologies安全与合规事业部总监Matthew Gardiner先生针对目前行业内火热的云计算话题发表了精彩的演讲。他提出了非常经典的“To,For,From”,来解决云计算的安全问题。
CA Technologies安全与合规事业部总监Matthew Gardiner先生
云已经不再是梦想了!
Matthew Gardine在演讲中表示,云计算在整个IT行业已经不再是梦想了。Matthew Gardine还列举了一些数字,如提供云应用的公司Salesforce.com,它的年收入已是超过10亿美元,还有非常知名的亚马逊网站,它在零售业务以外的与云相关的业务的收入预计达到5亿美元。
谈到企业进行IT系统建构时,Matthew Gardine给出了一张图(如图1)。从左到右,就是从单一的系统开始一直发展到最右边用云服务的方式来提供IT的能力。这张图能够帮助我们找到在云计算过程中到底哪些领域会出现安全问题。在这张图上不同的颜色代表不同的含义,绿色是指由自己企业IT部门可以控制的部分,并且要承担责任的部分;黄色是指本企业的IT部门和云供应商要共同负责承担责任的部分;红色是指“黑箱子”的部分,也就是IT企业的IT部门是不具有可视性的,而且也无法去控制。有的时候企业处于要求速度,要降低成本的考虑,把数据、把应用让云服务供应商去做,但是这样却意味着这部分就变得不可控,而且它的可视性也没有了。
▲图1(图表来源:Burton集团2009年7月关于“企业中的云计算安全”报告)
云端安全该由谁来负责?
通常这个回答是不一样的,有的人说应该是使用者来负责,有的人说应该由业务部门负责,还有人说应该由IT部门负责,还有人干脆说不知道,可能没有人来负责,所以在这种责任不明确的情况之下,肯定就会出现问题。如图1,里面显示了绿色、黄色,还有红色,其实它就很好的为大家显示了为什么大家对这个问题的答案不清楚,就是因为在各个领域大家对它的控制权,对它的可知性都是没有把握的,所以在云安全方面应该是云的供应商还有云的使用者共同来负责的。
Matthew Gardine说到,在云安全上身份和访问管理是最重要的,还有业务持续性,还有灾难恢复等等一些重要的点。当你使用设施级服务的时候,你这个应用是被托管到亚马逊的,你如何来管理具有管理人身份这样的一些用户呢?以前在企业内部的时候我们就面临比较大的权限管理的问题,现在你如果使用设施级服务的话,在云服务供应商当中也存在一些具有管理人,就是超大权限用户的管理问题。从理论上来讲,他们作为外部人员可以去看到他们企业内部的一些重要数据。所以要解决这个层面的安全问题,企业必须与云服务供应商进行一种可视性,还有互操作性的控制。Matthew Gardine做了一个很形象的比喻,云的提供商,还有云的消费者他们必须像跳舞一样和谐,能够使成为一体。作为云的消费者,这些企业能够对自己所使用的这些IT服务是可控的,而且是可视的,就像这些IT服务是由自己企业IT部门提供一样。
那么如何让这两者翩翩起舞呢?Matthew Gardine提出了“To,For,From”方法,也就是从云中来,云的服务供应商,到云中去。
首先是To,也就是到云中去,目前比较常见的像Google他们的服务通常都是企业级的用户去使用。这和传统模式相比较发生了什么变化,到云中去的状态之下,其实用户与企业之间信用关系并没有改变,改变的部分是企业既要管理自己企业内部应用的安全,也要管理外部应用的安全。这就是我们谈到企业安全机制必须到云中去。
再谈For,就是云供应商服务的部分。首先我们要让云消费者有信心,就是云服务供应商可以使用的,他们这种安全是有保障的,是得到行业安全标准认可的。我们知道云服务为什么会有云计算,就是因为它能够实现这样一种规模经济,很多用户、很多云的消费者他们是共享云的这些资源,其实在经济性方面这种共享是正面的,但是在安全方面它却有负面的效应在里面,也就意味着需要云服务的供应商能够有这样一种完善的全面的安全机制,而且这种安全机制是能够与云的消费者安全机制互操作的。
最后谈From,云安全服务从云中来,现在已经出现了安全云服务,它并不是一个概念性的服务了。Matthew Gardine列举了一个提供云安全服务的公司,它所提供的云安全服务就是身份认证。我们也知道有很多门户网站他们的访问是通过消费者提供他们ID还有密码,但是如果消费者不慎泄露了这方面的信息给别人,就会造成安全方面的问题。所以我们需要更加强的认证机制,这种认证机制的生效方式就是不会给用户造成太多的困扰,甚至让他们不知不觉就接受了这样一种认证。就类似于网站这样的企业,他们想保护这个网站的安全并不需要去额外再安装什么新的软件,可以直接从这家公司购买这样的认证服务就可以。
Matthew Gardine给出的几点建议:
一是希望IT人士应该积极参与到云计算潮流中,要随机应变,顺应这种潮流,引领你的公司去迎接这样一种变革。
二是对于云的安全问题,可以从传统IT安全管理角度去出发,帮助拓展企业自身云安全管理的能力,把现有的一些安全机制延伸到云安全管理当中,而不是完全开发全新的东西。
三是在云应用方面,必须建立用户框架,利用这样的框架去评估哪些应用,哪些数据是适合采用云的模式使用。
四是相对而言云计算市场并未成熟,有很多服务供应商也不希望自己安全机制做法被太多人所知,这样他们很有可能变化攻击的对象,所以在安全执行方面他们通常并不是一种非常透明的态度。但是另一方面作为云的消费者,企业也非常想知道到底云服务供应商在云安全方面到底提供了多大的可控性和可视性,因此我们就需要两者之间的配合。
五是不要孤军作战,其实你面临的问题是目前大家都在努力去解决的问题,所以要和大家多多的交流,多参与一些组织活动,鼓励大家更好参与到国际化的组织当中安全标准活动中。
