向五個不同的人提出一個有關云安全的問題,可能會得到五個不同的觀點。
云現象正在迅速地發展和變化,以至于安全等相關的規定很難跟上其發展。適用于的云的概念,如多租戶和統一用戶身份識別等,正在迫使安全廠商提供新的和更好的應對措施。但是,當他們準備好的時候,云可能已經產生了一套全新的安全挑戰。
標準也許是一個答案,也許不是一個答案,因為標準有一個固定的時間以跟上或者預測快速發展的創新。因此,必須有一種方法對一些東西實施標準化以幫助不斷地提出有關云安全的關鍵概念的架構和協議。
這正是非盈利組織云安全聯盟(Cloud Security Alliance)要做的事情。云安全聯盟創建于2009年,擁有2萬個成員,經常被當作向云計算提供安全方面的主要聲音。正如云安全聯盟成員和Sallie Mae公司首席安全官杰里·阿切爾(Jerry Archer)解釋的那樣,這個組織并不想成為一個標準組織,而是尋求一些方法推廣最佳做法。這些最佳做法將是用戶、IT審計人員、云和安全解決方案提供商一致認可的。
一個成果是云安全聯盟的GRC棧。這是一套工具,可幫助人們根據行業最佳做法、標準和重要的遵從法規的要求評估和指導云。同云安全聯盟制作的所有其它工具一樣,這個GRC棧免費提供給這個組織的任成員下載(不過,企業贊助商提供費用)。
阿切爾在接受《網絡世界》采訪中解釋了云安全聯盟的工作方式以及我們如何能夠解決云中的安全問題,他還解釋了云將如果改善我們的安全。
問:向我們高水平地解釋一下云安全聯盟做什么?
阿切爾答:你可以把我們做的事情分為五個大的方面。1.我們正在制定戰略,特別是為圍繞你如何進入云和你需要考慮什么事情。2.教育。幫助教育人們了解云安全問題。3.我們正在圍繞審計和遵從法規建立最佳做法框架。我們正在把一些典型的SAS 70控制和其它審計體制轉變為用于云的框架。4.我們正在研究評估問題,如果從評估安全的角度觀察云。5.我們在觀察未來是什么樣子。
問:云安全聯盟如何確定研究什么項目?
答:云安全聯盟使用嚴格的組外包或者云外包。我們目前擁有2萬個成員。任何成員都可以提出想法。你可以向這個組提出一個想法。如果你的想法有吸引力,人們將與你合作,然后你會得到批準。
在開始的時候,我們沒有研究資金。現在,我們擁有資金,因為我們有贊助的企業并且還有人投資一些工作。但是,保證客觀性對于我們來說是重要的。因此,這個委員會不斷地進行檢查以保證沒有廠商超額認購,也就是為一個指定領域的研究提供過多的資金。我們不想虧欠任何一家公司。
問:你們曾說云安全聯盟不想制定任何類似于SAS 70或者PCI那樣的硬標準。為什么會這樣,你如何評價你們對云計算行業的貢獻?
答:我們認為,行業標準應該由ISO(國際標準組織)和其它善于制定標準的那些組織來制定。我們經常與現有的標準組織合作以提供忠告和指導。但是,我們認為,如果我們不與任何具體的標準捆綁在一起,我們會更靈活一些。我們與國際標準組織和國際電信聯盟有正式的聯盟關系。我們向他們提供研究成果和資源,幫助他們的工作。我們還與NIST(美國國家標準及技術研究所)合作。我們希望與其它標準組織建立合作關系。
問:你認為用戶要求云提供商詳細介紹有關他們的云安全措施的權利與云提供商處于安全考慮對這些細節保密的權利有什么沖突嗎?
答:提供商也許永遠不想告訴任何人他們的防火墻是如果設置的以及類似的事情。另一方面,如果正確地傳遞,有大量的信息從遵從法規或者安全觀點看是非常有用的。
如果我們把事實與夸張的宣傳區別開來,作為云的消費者,我就會得到有關我的應用今天在什么地方運行以及如何運行的足夠信息,并且完全不會影響你的安全。因此,向我提供我需要的這些信息,我就會信任我所在的環境。
事實上,從消費者的方面看,事情會變得更加簡單,因為應用程序會變得儀表化,你可以確定這些應用程序是否處在正確的環境中。DARPA(美國國防部高級研究計劃局)已經對多租戶環境進行了大量的研究。他們研究了應用程序的控制,讓應用程序匯報它的環境的安全。
問:儀表化的應用程序是如果工作的?
答:在一個簡單的例子中,這個應用程序知道它要去什么地方。這個應用程序知道它將在什么計算機上運行,它實際上將使用什么操作系統并且通過詢問這些事情建立一個指紋,稱“我在正確的環境中,補丁水平是如何,等等”。
它可以是基于性能的,稱我知道我打算做這些事情。它可以測試這個代碼的合法性。如果答案不正確,那么,你知道你被騙了。
你可以做各種類型的事情以提供有關這個應用程序正在運行的環境的大量的知識。最終,那可能是你要去的地方。
問:云安全聯盟對于云的未來能夠預測多遠,你如何看這個問題?
答:我們的大多數重點仍然是建立云計算的基本要素。但是,深思熟慮的領導者有助于影響建立這個基礎的戰術方面,因此這是可以轉移的。所以,我們不必把這個基礎分開并且在每一次進入到云的另一個周期的時候都重建這個基礎。
從未來的方面看,我認為,任何人告訴你他們能夠預測兩年后的云的狀況,那是天真的。一切都在變化。我們不能預測所有這些變化的結果。云計算與從大型機過渡到分布式系統是不同的,云計算將改變有關計算的一切。
問:我的問題是,當MIP成本幾乎為零和存儲成本幾乎為零的時候會發生什么事情?
答:每一個人都將使用云,并且安全將繼續發展。例如,完全同型的加密將讓我不必解密就能處理數據。在我能夠做全面同型加密的同時,我就可以把我的全部數據放在云中并且全面加密。這種方法取消了威脅模式,對嗎?
問題是,要運行全面的同型加密算法需要使用比我們目前擁有的處理能力還要多的處理能力。但是,穆爾定律達到那個水平只需要很短的時間。
問:那么,云安全將能夠跟上云計算中的變化嗎?
答:是的。云中的安全將改善。應用云的像Sallie Mae那樣的公司、金融公司和其它公司要求得到與他們現在擁有的安全水平相同的或者更好的安全水平。
對提供商提出的這種要求將轉變為讓每一個人都得到同樣的結果。因此,不能依靠自己的購買足夠的安全措施的小企業將得到應用云服務的大企業所得到的同樣好的安全產品。我們將有能夠有效地提供安全的大型提供商。云中的安全將得到改善。我們將來都會有更好的安全。
京公網安備 11010502049343號