雲計算近憂 各方謀攻撥開雲安全迷霧

思科總裁錢伯斯曾語出驚人，聲稱雲計算將是安全的災難，這個說法在業內也引發了一場不小的轟動。 實際上，這確實也並非聳人聽聞，資料保護、終端防護、虛擬環境中的風險管理等資訊安全問題伴隨著雲計算的來臨將更加複雜和棘手，企業使用者的資訊安全將面臨更加嚴峻的挑戰。

趨勢科技2010年關于安全威脅的報告指出，雲計算與虛擬化雖然能夠帶來可觀的效益，節省大量成本，但將伺服器遷移至傳統資訊安全邊界之外，也擴大了網路犯罪者的活動範圍。 在雲計算的道路上，如何挪開安全問題的「絆腳石」，撥開「雲安全」的迷霧，已經成為各方共同關注的利益點。

公司資訊安全的新趨勢

實際上，拋開「雲」的概念，當前開放的互聯網環境已經使得安全問題更加多變和突出，並呈現出一些新的發展趨勢。 企業的CIO們一方面要讓資訊更加容易獲取並提高IT對於企業的商業價值，與此同時，卻不得不保護資訊的安全性並符合法規要求。

根據賽門鐵克發佈的2010資訊安全威脅趨勢，多形態安全威脅將是今後的主流趨勢。 人們需要防範的已經遠遠不僅是病毒而已，社交工程學已經被網路犯罪分子使用的得心應手，在使用協力廠商軟體時也需要更加提高警惕。

網路犯罪者將不再去攻擊使用者的電腦，而是直接攻擊資料中心。 未來，資料中心所面臨的安全隱患已經防不勝防，各種安全隱患及難題大大地增加了資料中心運營商的運維難度及運營成本。 而無論是終端防護還是資料中心等的安全，都隨著雲計算的到來而增加了安全管理的難度，這無疑是一場全新的挑戰。

聯想網禦CTO畢學堯撰文總結2010年資訊安全發展趨勢指出，安全資訊與事件管理漸成氣候，設備越來越多，網路、主機及安全設備記錄了大量日誌，集中收集並綜合分析，及時準確定位安全事件已成為普遍需求， 是資訊安全向高級階段發展的必然趨勢，也是合規性的要求;而雲計算架構下如何保障安全成為真實挑戰，雲計算作為IT發展的下一個關鍵方向已經基本得到了確認，最大的阻力——安全問題——已經被逐漸具體化。

各方謀攻撥開「雲安全」迷霧

CloudSecurityAlliance聯合創始人JimReavis說，儘管當前對於「雲」這個概念確實存在著太多的炒作，不過這個雲技術和其商業模式的春秋時代，也為CIO開啟了一扇至關重要的機會之門，供他們制訂從「可信雲 」中獲取最大利益的策略。

而如何協助CIO確定雲計算策略，並有效地避免雲計算所帶來的安全隱患，國際上關於「雲」的組織聯盟正在做出努力。 如歐洲網路及資訊安全域(ENISA)制定了「雲計算風險評估」規範，而雲安全聯盟(CSA)發佈了「雲計算重點關注區域安全指導」，涵蓋13個關注的領域。 而這些組織制定的規範或指導所關注的關鍵的問題主要是法規遵守、資料管制、可攜性及互用性、身份和接入管理等。

不僅如此，無論是新興的還是傳統的資訊安全解決方案供應商也紛紛發力，他們或推出獨立的雲安全解決方案，或合縱連橫，共同解決「雲」時代的安全問題。

「我們正面臨著一場全新的挑戰，不能用傳統的基於單機版或基於局域網的資訊安全保護方式保護雲安全計算環境，我們需要採用新的技術和新的模式，保護雲計算架構的安全。 」趨勢科技首席執行官陳怡樺表示。

在2010年，趨勢科技將在原有的基於雲計算技術架構的安全服務下，提供新的面向雲計算的安全服務。 也就是從SecurityFromCloudComputing(來自雲計算的防護)到SecurityFromCloudComputing(給雲計算提供防護)，提出了雲計算3。 0的概念。

桌面到資料中心虛擬化解決方案供應商VMwareVMWARE在虛擬機器保護、遠端接入及終端資料防護方面已經出現了有針對性的解決方案。 雲計算安全服務也順勢而生。 Novell雲計算安全營業單位總經理DiptoChakravarty說，Novell正在與許多SaaS(軟體即服務)和託管供應商聯繫，以評估他們在基於雲計算的安全方面與Novell合作的興趣。

業內人士指出，若想解決雲計算的安全性問題，僅僅依靠一個廠商的力量是不夠的，需要業界聯合起來，組成一個完整的生態系統，共同保護雲計算的安全。 據瞭解，雖然許多廠商都認識到保護雲計算安全的重要性，但由於廠商各自經營範圍的不同以及各自理解的不同，資訊安全廠商、虛擬化技術供應商、網路基礎設備供應商、伺服器供應商、應用系統供應商、 作業系統廠商等在保護雲計算安全方面各自為政的局面在所難免，這必將使安全保護工作陷入無序的狀態。 因而，如何在「雲安全」方面達成共識，仍是各類雲計算廠商及安全廠商未來需要解決的問題。

值得關注的是，一些資訊安全服務商已經在構建完成的安全生態系統方面做出了嘗試。 目前，趨勢科技與VMware、微軟等公司已開始建立「雲安全」上的合作關係。 繼微軟之後，互聯網巨頭谷歌近日宣佈加入「雲安全聯盟」(CloudSecurityAlliance)，致力於提供最佳安全實踐機會，向有意加入雲計算領域的企業和組織提供有價值的資訊。

總之，「雲安全」仍然是有意向使用雲計算的企業所擔心的主要問題。 只有解決了「雲安全」的威脅問題，雲計算或許才能真正洶湧而來，這需要各方攜手去撥開「雲安全」的迷霧。

(責任編輯：蒙遺善)