公有云和私有云誰更安全?
一個接一個的調查表明,潛在用戶采用公有云最大的顧慮是安全問題。例如,2010年4月的一項調查指出,45%的以上的受訪者認為,云計算的風險要超過其能帶來的利益。CA 和Ponemon Institute進行的一項調查研究,也發現了相似的擔憂。但是他們也發現,盡管有安全的顧慮,他們依舊部署了云計算。然而,依舊有諸如此類的調查和研究結果不斷發布,指出對于云安全的不放心繼續存在。
當然,大多數對云計算的擔心與公有云有關。全球IT從業者不斷地對使用一個公有云服務提供商提出同樣的問題。例如,這周我在臺灣,在臺灣云SIG會議上發表了演講。并做了一篇關于臺灣云計算SIG的演講。250人參加了這個會議,正如預料的那樣,人們向我提出的第一個問題就是,“公有云計算足夠安全嗎,我是否應該使用私有云以避免所有的安全問題?”所有地方的人們似乎都認為公有云服務提供商是不可信賴的。
然而,把云安全的討論歸結為“公有云不安全,私有云安全”的公式似乎過于簡單化。簡單地說,這個觀點存在兩個大謊言(或者說是兩大主要的誤解)。產生這兩大誤解的主要原因是,這種新的計算模式迫使安全產品和操作手法發生了巨大變化。
誤解一:私有云是安全的
這個結論的依據僅僅是私有云的定義:私有云是在企業自己的數據中心邊界范圍內部署的。這個誤解產生于這樣一個事實:云計算包含與傳統計算不同的兩個關鍵區別:虛擬化和活力。
第一個區別是,云計算的技術基礎平臺是一個應用的管理程序。管理程序能夠把計算(及其相關的安全威脅)與傳統的安全工具隔離開,檢查網絡通訊中不適當的或者惡意的數據包。由于在同一臺服務器中的虛擬機能夠完全通過管理程序中的通訊進行溝通,數據包能夠從一個虛擬機發送到另一個虛擬機,不必經過物理網絡。一般安裝的安全設備在物理網絡檢查通訊流量。
至關重要的是,這意味著如果一個虛擬機被攻破,它能夠把危險的通訊發送到另一個虛擬機,機構的防護措施甚至都不會察覺。換句話說,一個不安全的應用程序能夠造成對其它虛擬機的攻擊,機構的安全措施對此無能為力。僅僅因為一個機構的應用程序位于私有云并不能保護這個應用程序不會出現安全問題。
當然,人們也許會指出,這個問題是與虛擬化一起出現的,沒有涉及到云計算的任何方面。這個觀察是正確的。云計算代表了虛擬化與自動化的結合。它是私有云出現的另一個安全缺陷的第二個因素。
云計算應用程序得益于自動化以實現靈活性和彈性,能夠通過迅速遷移虛擬機和啟動額外的虛擬機管理變化的工作量方式對不斷變化的應用狀況做出回應。這意味著新的實例在幾分鐘之內就可以上線,不用任何人工干預。這意味著任何必要的軟件安裝或者配置也必須實現自動化。這樣,當新的實例加入現有的應用程序池的時候,它能夠立即作為一個資源使用。
同樣,它還意味著所有安全軟件必須自動化地安裝和配置,不能有人工干預。遺憾的是,許多機構依靠安全人員或者系統管理員人工安裝和配置必要的安全組件,通常作為這臺機器的其它軟件組件安裝和配置完畢之后的第二個步驟。
換句話說,許多機構在安全做法與云要求的現實方面是不匹配的。估計私有云本身是安全的這個觀點是不正確的。在你的安全和基礎設施做法與自動化的實例一致之前,你會有安全漏洞。
而且,使它們一致是非常重要的。否則,你可能出現這種情況:你的應用程序自動化超過了你的安全做法的應對能力。這不是一個好現象。毫無疑問,人們不喜歡解釋為什么好像安全的私有云最終還是有安全漏洞,因為云計算的自動化特征還沒有擴展到軟件基礎設施的所有方面。
因此,關于云計算的第一個大謊言的結果是私有云本身就是不安全的。#p#
誤解二:公有云的安全完全取決于云服務提供商
現實是,服務提供商領域的安全是提供商與用戶共同承擔的責任。服務提供商負責基礎設施的安全以及應用程序與托管的環境之間的接口的安全;用戶負責接入這個環境的接口的安全,更重要的是負責應用程序本身的內部安全。
沒有正確地配置應用程序,如環境安全接口或者沒有采取適當的應用程序級安全預防措施,會使用戶產生一些問題。任何提供商也許都不會對這種問題承擔責任。
讓我提供一個例子。與我們合作的一家公司把自己核心的應用程序放在亞馬遜Web服務中。遺憾的是,這家公司在使用亞馬遜Web服務安全機制或者簡單應用程序設計問題等方面沒有采取適當的安全措施。
實際上,亞馬遜提供一個虛擬機級別的防火墻(稱作安全組)。人們配置這個防火墻以允許數據包訪問具體的端口。與安全組有關的最佳做法是對它們分區,這樣,就會為每一個虛擬化提供非常精細的訪問端口。這將保證只有適用于那種類型機器的通訊能夠訪問一個實例。例如,一臺Web服務器虛擬機經過配置允許端口80上的通訊訪問這個實例,同時,數據庫虛擬機經過配置允許端口80上的通訊訪問這個實例。這就阻止了來自外部的利用web通訊對包含重要應用程序數據的數據庫實例的攻擊。
要建立一個安全的應用程序,人們必須正確地使用安全組。這個機構沒有這樣做。它對于訪問所有實例的通訊都使用一個安全組。這意味著訪問任何實例的任何類型的通訊都可以訪問每一種類型的實例。這顯然是糟糕地使用亞馬遜Web服務安全機制的一個例子。
關于機構的應用程序本身,它采用了糟糕的安全做法。它沒有在不同類型的機器之中對應用程序代碼分區,它把所有的應用程序代碼都裝載到同一個實例中。這個實例接收其企業網站的通訊,并且還有也在它上面運行的包含專有算法的代碼。
這種情況的關鍵事實是:如果這個機構以為所有的安全責任都由云服務提供商(在這個案例中是亞馬遜Web服務),這將是一個嚴重的疏忽,因為它沒有采取重要步驟解決安全問題,而這個安全問題是沒有任何一個云服務提供商會承擔責任的。這是共同承擔責任的意義——雙方必須建立自己控制的安全方面。沒有這樣做,意味著應用程序是不安全的。即使云服務提供商在自己控制的范圍內所做的一切都是正確的,如果這個應用程序的擁有者沒有正確地履行自己的責任,這個應用程序也將是不安全的。
我曾經會見過許多安全人員討論有關公告云服務提供商的問題。他們拒絕認為自己的公司在這些環境中的責任,堅持把每一個安全話題轉向擔心云服務提供商的責任。
坦率地說,這使我感到他們是輕率的。因為這暗示他們拒絕認真地做一些必要的工作,以便創建一個基于公有云服務提供商的盡可能安全的應用程序。這個態度好像所有的安全責任都在云服務提供商身上,與安全人員無關。進一步擴展就是他的公司與在云服務提供商環境中運行的應用程序的任何安全事故無關。因此,這種情況——有關人士堅決支持私有云,聲稱私有云有優越的安全性——并不讓人感到意外。
現實是,機構正在越來越多地在公有云服務提供商環境中部署應用程序。安全組織采取行動,保證自己的機構采取的所有步驟盡可能安全地執行應用程序是非常重要的。這意味著機構本身需要在這方面采取些什么步驟。
因此,安全是云計算的第三條軌道。安全一直被說成是私有云固有的好處和公有云計算的基本缺陷。實際上,事實比這些情況暗示的還要模糊不清。斷言公有云環境有安全缺陷,不認真考慮如何緩解這些不安全因素,似乎是不負責任的。這個證據表明這種觀點認為研究緩解安全問題的技術是沒有必要。
一個管理不善和配置糟糕的私有云應用程序是非常容易受到攻擊的。一個管理妥當、配置合格的公有云應用程序能夠達到很好的安全性。
在這兩個環境中,更有建設性的做法是就以下問題進行咨詢:必須采取什么行動才能實現在時間、預算和容許風險的條件下,盡可能保證應用程序安全的目標。考慮到一個具體環境和應用,安全從來不是一個或黑或白的簡單問題,而是如何盡可能地照亮一個陰影的問題。不承認這個問題會破壞這個話題的討論,影響如何最好地保證一個機構的基礎設施以及盡可能地高效率和節省成本等問題。
*本文作者:Bernard Golden(HyperStratus咨詢公司CEO伯納德·戈爾登)
