云如何解决安全问题
向五个不同的人提出一个有关云安全的问题,可能会得到五个不同的观点。
云现象正在迅速地发展和变化,以至于安全等相关的规定很难跟上其发展。适用于的云的概念,如多租户和统一用户身份识别等,正在迫使安全厂商提供新的和更好的应对措施。但是,当他们准备好的时候,云可能已经产生了一套全新的安全挑战。
标准也许是一个答案,也许不是一个答案,因为标准有一个固定的时间以跟上或者预测快速发展的创新。因此,必须有一种方法对一些东西实施标准化以帮助不断地提出有关云安全的关键概念的架构和协议。
这正是非盈利组织云安全联盟(Cloud Security Alliance)要做的事情。云安全联盟创建于2009年,拥有2万个成员,经常被当作向云计算提供安全方面的主要声音。正如云安全联盟成员和Sallie Mae公司首席安全官杰里·阿切尔(Jerry Archer)解释的那样,这个组织并不想成为一个标准组织,而是寻求一些方法推广最佳做法。这些最佳做法将是用户、IT审计人员、云和安全解决方案提供商一致认可的。
一个成果是云安全联盟的GRC栈。这是一套工具,可帮助人们根据行业最佳做法、标准和重要的遵从法规的要求评估和指导云。同云安全联盟制作的所有其它工具一样,这个GRC栈免费提供给这个组织的任成员下载(不过,企业赞助商提供费用)。
阿切尔在接受《网络世界》采访中解释了云安全联盟的工作方式以及我们如何能够解决云中的安全问题,他还解释了云将如果改善我们的安全。
问:向我们高水平地解释一下云安全联盟做什么?
阿切尔答:你可以把我们做的事情分为五个大的方面。1.我们正在制定战略,特别是为围绕你如何进入云和你需要考虑什么事情。2.教育。帮助教育人们了解云安全问题。3.我们正在围绕审计和遵从法规建立最佳做法框架。我们正在把一些典型的SAS 70控制和其它审计体制转变为用于云的框架。4.我们正在研究评估问题,如果从评估安全的角度观察云。5.我们在观察未来是什么样子。
问:云安全联盟如何确定研究什么项目?
答:云安全联盟使用严格的组外包或者云外包。我们目前拥有2万个成员。任何成员都可以提出想法。你可以向这个组提出一个想法。如果你的想法有吸引力,人们将与你合作,然后你会得到批准。
在开始的时候,我们没有研究资金。现在,我们拥有资金,因为我们有赞助的企业并且还有人投资一些工作。但是,保证客观性对于我们来说是重要的。因此,这个委员会不断地进行检查以保证没有厂商超额认购,也就是为一个指定领域的研究提供过多的资金。我们不想亏欠任何一家公司。
问:你们曾说云安全联盟不想制定任何类似于SAS 70或者PCI那样的硬标准。为什么会这样,你如何评价你们对云计算行业的贡献?
答:我们认为,行业标准应该由ISO(国际标准组织)和其它善于制定标准的那些组织来制定。我们经常与现有的标准组织合作以提供忠告和指导。但是,我们认为,如果我们不与任何具体的标准捆绑在一起,我们会更灵活一些。我们与国际标准组织和国际电信联盟有正式的联盟关系。我们向他们提供研究成果和资源,帮助他们的工作。我们还与NIST(美国国家标准及技术研究所)合作。我们希望与其它标准组织建立合作关系。
问:你认为用户要求云提供商详细介绍有关他们的云安全措施的权利与云提供商处于安全考虑对这些细节保密的权利有什么冲突吗?
答:提供商也许永远不想告诉任何人他们的防火墙是如果设置的以及类似的事情。另一方面,如果正确地传递,有大量的信息从遵从法规或者安全观点看是非常有用的。
如果我们把事实与夸张的宣传区别开来,作为云的消费者,我就会得到有关我的应用今天在什么地方运行以及如何运行的足够信息,并且完全不会影响你的安全。因此,向我提供我需要的这些信息,我就会信任我所在的环境。
事实上,从消费者的方面看,事情会变得更加简单,因为应用程序会变得仪表化,你可以确定这些应用程序是否处在正确的环境中。DARPA(美国国防部高级研究计划局)已经对多租户环境进行了大量的研究。他们研究了应用程序的控制,让应用程序汇报它的环境的安全。
问:仪表化的应用程序是如果工作的?
答:在一个简单的例子中,这个应用程序知道它要去什么地方。这个应用程序知道它将在什么计算机上运行,它实际上将使用什么操作系统并且通过询问这些事情建立一个指纹,称“我在正确的环境中,补丁水平是如何,等等”。
它可以是基于性能的,称我知道我打算做这些事情。它可以测试这个代码的合法性。如果答案不正确,那么,你知道你被骗了。
你可以做各种类型的事情以提供有关这个应用程序正在运行的环境的大量的知识。最终,那可能是你要去的地方。
问:云安全联盟对于云的未来能够预测多远,你如何看这个问题?
答:我们的大多数重点仍然是建立云计算的基本要素。但是,深思熟虑的领导者有助于影响建立这个基础的战术方面,因此这是可以转移的。所以,我们不必把这个基础分开并且在每一次进入到云的另一个周期的时候都重建这个基础。
从未来的方面看,我认为,任何人告诉你他们能够预测两年后的云的状况,那是天真的。一切都在变化。我们不能预测所有这些变化的结果。云计算与从大型机过渡到分布式系统是不同的,云计算将改变有关计算的一切。
问:我的问题是,当MIP成本几乎为零和存储成本几乎为零的时候会发生什么事情?
答:每一个人都将使用云,并且安全将继续发展。例如,完全同型的加密将让我不必解密就能处理数据。在我能够做全面同型加密的同时,我就可以把我的全部数据放在云中并且全面加密。这种方法取消了威胁模式,对吗?
问题是,要运行全面的同型加密算法需要使用比我们目前拥有的处理能力还要多的处理能力。但是,穆尔定律达到那个水平只需要很短的时间。
问:那么,云安全将能够跟上云计算中的变化吗?