谷歌分析師稱，谷歌拒絕透露是否會對其他應用增加安全加密措施，這讓客戶很受傷。

[[111055]]

谷歌最近宣揚現在Gmail信息在數據中心之間傳輸的時候，會做加密處理，這一額外的安全措施目的是挫敗意圖竊取信息的政府和不法分子，但是谷歌沒有表明是否將這一措施貫徹到所有應用上。

而谷歌也拒絕對此予以評論。“我們不便分享Gmail以外的其他信息，但是我們一直在加強和加密更多服務和數據連接。”一位谷歌新聞發言人在郵件中說。

分析師稱，谷歌不希望明確自己內部加密的范圍，而這對于依賴其應用套件進行工作聯系，云存儲和協作的企業客戶而言肯定不方便。

“在面對被破壞的證據，且被質疑破壞是怎樣發生的以及破壞者都干了些什么時，谷歌采取了回避的態度。不存在信任基礎，”Gartner分析師Jay Heiser說。

事情還得從去年說起，去年斯諾登披露了NSA通過攔截數據互聯網公司在服務器和數據中心之間未加密的純文本信息，對在線服務用戶進行監聽。

去年九月，谷歌官方告訴《華盛頓郵報》，稱該公司正加速對數據中心之間的數據做加密處理。

“這是一場競備賽，”谷歌安全工程副總Eric Grosse稱。

大約兩周前，谷歌宣布為Gmail開啟“內部”加密，但是卻不說是否，以及何時會把這種加密措施延伸到其他服務和應用上。

“你發送的或接收的每個單獨Email信息都會在傳輸過程中被加密。這確保了你所發信息的安全，而且不僅僅是在你和Gmail服務器之間傳輸時的安全，還包括在谷歌各個數據中心之間傳輸時的安全——這是去年去年夏天斯諾登爆料事件之后，我們列為頭等重要的事情。”谷歌的博文如是說。

去年九月谷歌對《華盛頓郵報》稱，端到端的內部加密項目將盡快完成。而谷歌新聞發言人沒有給出更新的消息。該新聞發言人還拒絕透露Gmail新增加密措施的具體時間，而只是承認這一消息***在3月20號的博客中發不過。

這就是為什么企業云服務購買者需要從廠商那里獲得更多透明度的典型案例，Heiser透露。“沒有人希望自己的數據輕易被監控，而且谷歌以外也沒有人知道如何才可以確定傳輸漏洞已被修復，”他說。

“在不知道谷歌服務器之間數據傳輸方式的情況下，沒有人知道是否存在威脅。我們現在都知道這種傳輸過程存在漏洞，但是如果沒有細節信息的支持，谷歌給出的模糊承諾并不能作為漏洞已被修復的可靠證據，”他補充道。

谷歌的模糊回應暗示該公司可能并未完成它去年九月提及的Grosse，而客戶應該留意這一點，Heiser說。

“這個例子表明，谷歌的規模和復雜性應該成為用戶質疑的點。其搜索引擎和廣告業務的數據流或基礎設施是限制谷歌為信息傳輸部署加密措施的因素嗎?”Heiser說。

另一名Gartner分析師Peter Firstbrook也不能接受谷歌的模糊態度。

“如往常一樣，谷歌并沒有給出實質的信息，”他在郵件中寫道，并提到了上文所述的3月20號的博文。“這又是在告訴人們‘相信我們，我們在做正確的事情’。但并沒有給出明確解釋。新的加密機制中可能存在薄弱環節。但我們不得而知。”

SaaS產品購買者的教訓很明顯，Heiser透露：需求很明確，廠商對其安全產品和策略的粒度化解釋。

“‘我們有以下特性’這種話并不能幫助SaaS購買者完全了解某個特定產品到底什么地方存在不必要的漏洞，如果你不把技術上的完整信息和服務的拓撲結構告訴購買者，”他說。“SaaS就是如同熱狗腸一般，內里的肉或許無害，但如果不知道所有配料，你就無法完全了解它對健康的危害。”