專訪:如何應對云計算帶來的安全隱患
原創【51CTO獨家報道】企業對IT系統的依賴程度與IT風險之間的關系,就如同水與船一般,水漲船高,依賴度越強,企業的IT風險越大。而了解這些風險與相應的安全解決方案是降低這些風險的前提。新生事物和技術的出現,也必將會帶來新的問題和風險,如何在有效的利用新技術的同時,及時識別和規避新的風險,也是我們一直在探索的問題。安全產業也從原先的防火墻、風險評估系統等各種單一離散的產品,轉變成了各種產品之間相互融合、完整的信息安全體系。
比爾蓋茨在2002年時提出了關于可信賴計算的企業戰略,力求為所有的計算機用戶提供一個安全可靠的、隱私得到保障的計算體驗。但是在今天以云計算作為新興技術代表的環境下,對于安全性的需求把個人電腦的可信賴計算的原則引入到了網絡空間。隨著處理器技術、虛擬化技術、分布式計算、互聯網技術和自動化管理幾大技術的綜合,產生由分布式的大規模集群和服務器虛擬化實現的云計算能力,實現一個風險可控的、優化的業務信息支撐體系也變得更加重要。
微軟公司可信賴計算副總裁Scott Charney在接受51CTO.com記者專訪時特別談到了在企業安全策略中必須要專注的幾個方面。“首先是加強物理的基礎架構,減少代碼的脆弱性,更好的運用縱深防御策略,而且要使安全和隱私更加容易管理。第二,企業要建立起更加可信賴的認證,這可能意味著要將要將更多的安全性根植于硬件中”,Scott Charney說:“我們要使用戶更容易的了解到他們的機器上運行了哪些軟件,以及這些軟件本身的運行方式,是不是以他們所期待的方式運行,以及是否從他們所希望的來源獲得數據和信息等。認證的方式都將會起到非常重要的作用。第三點是將信息分散,通過不同的認證方式獲得不同的數據模塊,再將不同空間中獲得的數據經過組合后,才能夠獲得真正全面的信息。”
微軟公司可信賴計算副總裁Scott Charney
在云計算環境中,用戶將主要關注云計算的安全性、可靠性和經濟性。“對于不同的云的類型,他們對于安全和隱私的影響也是不同的”,Scott Charney談到:“如果用戶讓云服務提供商做的事情越多,那這個云服務提供商在安全和隱私方面的責任就會越大。比如高可靠性,特別是關鍵業務的應用,足夠的可靠性保障將成為這些業務遷移到云計算平臺的前提。云計算增加了潛在的數據暴露給非授權用戶的風險,因此身份認證和訪問技術也是云計算服務提供商們為用戶提供云安全服務的保障。不僅如此,對于企業的合規性以及為云計算服務提供的自動化管理,也都將會隨之變得日益重要。”
“十年前在互聯網上存儲的數據絕大多數是電子郵件,而現在,我們看到的除了電子郵件之外,還有照片、多媒體等,在可預見的未來,我們有可能在云中存儲任何信息,包括醫療健康記錄、財務信息、照片、郵件、以及各種文檔”,Scott Charney說:“同樣重要的是今天對于大多數人們來講,他們訪問云端的數據,所依賴的認證手段可能仍然還是用戶名和密碼的方式,如果要進一步推進安全策略,認證手段、身份識別可能會是整個信息安全系統的基礎。
已經變得相對較弱的用戶名加密碼的安全策略仍然是我們現在主要的安全應對方式。Scott Charney認為在硬件層面上對安全進行認證,會在投入較小成本的情況下有較高的安全回報。“比如現在很多的筆記本電腦中,都加入了一個可信賴的平臺模塊,加入這個硬件模塊的成本通過計算,實際上在整個筆記本電腦成本中占的比例很小。但是對于安全性能卻有了很大的提升” Scott Charney分享道:“現在美國的駕照在中間留出了一塊空白,這個空白就是為確保安全的智能卡預留的。在駕照上植入智能芯片并不貴,但這使得公民在互聯網上和政府之間的所有的交易、流程都能夠相對安全的進行。”
不久前Scott Charney提出了建立計算機安全移植模式,來確保互聯網應用的安全。“在全世界范圍內,一旦發生重大的疾病疫情,世界衛生組織就會向各國政府通報情況,于是各國政府就會采取相應的措施,比如對病人進行隔離、集中治療等。在計算機世界里,一些企業也經常會做同樣的事情,比如掃描企業內網的機器是否受到病毒感染,補丁是否打全了,病毒庫是不是最新的等等,直到他們確定沒有問題才能讓電腦接入公司的網絡,如果發現有一臺電腦被感染了,就會立刻將這臺電腦隔離并進行修復,然后才會和公司的網絡重新連接在一起”,Scott Charney談到:所以,互聯網訪問的提供商是否也可以向消費者提供同樣的服務,將互聯網安全也作為公共安全的事件來進行處理,用隔離、清除感染了病毒的電腦的方式,保護其它的接入者不受病毒的困擾。”
隨著IT系統以及互聯網在企業中占據越來越重要的地位,信息安全的需求日益高漲,但是企業的信息系統所涉及到的業務流程、人員操作、應用需求都會處于動態變化的狀態,因此信息系統的安全又是一個極其復雜的過程。任何一種安全策略都不能保證應用的絕對安全,部署一個可靠的、能對各種突發的安全事件作出準確、及時響應的、并能對風險進行有效管理的安全架構,便是企業運籌帷幄,轉危為安的基礎。(文/馬沛)
