在SearchCloudProvider.com兩部分Q&A的第二部分中,Savvis公司的CTOBryanDoerr概述根據Focus.com(一家服務對象為專業商務人士的社交網站)近期對其成員所做的一次調查結果顯示:有61%的企業表示,云計算安全問題是他們對云計算應用的最大關注點之一。而近四分之一的受訪者(23%)表示,他們并不對他們的云計算服務供應商抱以任何信心,他們認為供應商們缺乏確保他們數據和應用程序安全的能力。
Savvis公司的CTOBryanDoerr概述了供應商們所面臨的云計算安全挑戰,以及Savvis公司是如何在其Symphony云計算服務中逐一應對這些挑戰的。本次訪問的前半部分介紹了云計算供應商們是如何與用戶一起討論云計算安全問題的。
云計算服務是否需要一個不同于托管服務的安全措施?
BryanDoerr:一個安全云計算中眾多主要因素之一就是多租戶的概念。如果你需要一個多租戶的環境,那么你就應該留意這些環境之間是如何實現隔離的。當然,那也是我們專心關注的問題。
另一個因素就是,本質上虛擬環境更具移動性。一個虛擬機可以在不同物理服務器之間進行遷移。如果物理主機的安全策略不允許虛擬機的遷移,那么虛擬機在物理主機上就有可能無法正常運行。在一定程度上來說,你的安全策略必須與潛在虛擬機基礎設施具有相同的動態性。這些就是云計算產品在進入市場前必須正確處理的相關事宜。
Savvis公司是如何讓其Symphony云計算解決方案環境成為一個安全云計算的?
Doerr:從一開始安全問題就是我們在設計云計算時所關注的問題。既然我們的目標是企業市場,既然我們的產品必須面對最為挑剔和最具辨別力的買家,我們都心知肚明我們必須通過安全測試。我們的管理基礎設施、我們的虛擬安全能力以及我們云計算產品中的功能都是為安全第一理念所驅動的。
另外一個需要了解的重要理念是,并不是所有的云計算安全措施一定要駐留在云計算中。例如,你可以把安全措施留在云計算外。簡單來說,你在云計算中獲得的服務可以是簡單虛擬服務器、存儲設備和網絡設備,在某種程度上這不同于它們的物理實體。在物理實體的情況下,如果你向一個服務供應商購買了那些功能,那么服務供應商就將經常提供其他有助于增強托管環境安全性的安全服務,如防火墻功能、入侵檢測功能、反DDoS功能。這些功能都不在云計算中,但都可應用于你的物理托管環境中。當你從Savvis公司購買了云計算產品,那么這些相同的安全服務也可應用于你的云計算解決方案。我經常告訴客戶,他們并不應只是過于關注于他們所將購買的云計算技術或云計算功能,他們還應該要注重于選擇提供云計算產品與服務的廠商,這是因為如果選對了服務供應商,那么當他們所需要的服務在云計算中不適用時,在云計算外也可以適用。
例如,查看日志管理。作為安全方面最佳實踐的一方面,許多公司都需要記錄和審查某些服務器的運行日志以確保登錄與訪問的完整性。那么,Savvis公司所提供的日志管理服務不僅可以讓你連接你的專用管理服務,而且還可以連接至你的云計算服務。這樣,你就可以同時滿足專用與云計算條件下的日志管理需求,當然這只是一個例子。正如我所提到的那樣,服務器、負載平衡器、入侵檢測、反威脅措施,所有這些功能都可以添加到你的云計算服務中,其方便程度就如同你把這些功能添加到你的專用環境中一樣。當客戶需要的并不僅僅是一個安全云計算時,應當如何?你應當如何確保一個混合托管環境的安全性?
Doerr:那并不需要魔法,那只需要關注。這些混合托管環境就是未來環境的發展趨勢。最初,大多數被認為是基于云計算的應用程序都來源于私有數據中心中的專用環境。在很多、很多情況下,這些應用程序都是混合解決方案中的最佳實現。你一定要通盤考慮過整個安全架構,與云計算部署相比,這是一個更大的挑戰。但當你深入其中時,只要服務供應商擁有部署的能力,你就會看到熟悉的問題、熟悉的解決方案。從安全的角度出發,并沒有一個全新的技術流可滿足混合環境的需求。
在建立一個安全云計算時,你對你的供應商的依賴程度如何?之前,我們談及一個自助服務門戶網站如何有意想不到的安全需求。
Doerr:為了專門回答你的這個問題,我們建立了我們自己的門戶網站。我們希望用戶在通過云計算服務和所有其他托管服務使用Savvis產品時擁有的使用體驗就是我們公司一直以來要控制、宣揚、傳播的價值主張,因此我們自行建立了所有相關的平臺。我們相信,這些創建角色和連接流程的客戶端接口是該使用體驗的一部分,同時也為我們所擁有,因此我們不必等待任何人。
在技術方面,我們并不是技術制造商。我們不開發防火墻軟件或路由器又或者是服務器,因此我們市場技術的消費者。在這個意義上,一些問題的答案、一些真正需要開發可靠云計算解決方案的安全功能必須依賴我們的供應商從技術上予以解決。
你是否發現了改進的空間,以及廠商如何能夠使供應商開發安全云計算?
Doerr:今天,我們的云計算解決方案都是源于VMware公司、Cisco公司以被稱為Reflex系統公司(虛擬防火墻解決方案公司)的組合,這些公司都干得相當不錯。我們相信,這些公司正關注于正確的事情,正在為他們的產品新增功能以便于讓我們的用戶能夠開發可靠的云計算解決方案。但是我會說,在最新一代功能問世之前,這些產品和必要的功能都是不存在。當時,用戶其實也有很好的理由確保他們能夠從另外一個角度看待這個問題,以理解某些設計如何實現良好的安全性。
京公網安備 11010502049343號