雲安全：技術、程式、責任

來自國外媒體消息，Thoran Rodrigues提出了關於雲安全的討論並推翻了共同合作實現全面安全性原則的三個必要元素。

雲計算的安全問題是公司也是使用者最關心的話題之一。 雲安全的問題要比簡單地「雲計算安全與否」要複雜得多。 一個雲計算應用程式可以託管在一個資料被適當加密的安全環境裡，但是攻擊者仍能通過社交工程訪問到您的資訊。 另一方面，你可以擁有世界上最安全的密碼保護方式，但是一旦託管環境被攻擊，你仍會遺失資料。 任何試圖解決今天存在的雲安全問題的合適方式都必須涉及安全問題的三個方面：技術、過程和責任。 另一個需要考慮的的重要因素則是這三者的細節和關鍵點互相緊密聯繫，要進行更改取決於我們所處的雲棧位置。 無論是對雲平臺的安全水準要求上，還是在雲基礎結構的構建上，創建安全的雲軟體要求是十分不同的。

技術第一步就是要使用適當的技術來保障應用和資料的安全。 「適當的技術」在很大程度上取決於我們談論的雲層種類。 對於雲應用而言，安全可以很簡單，只需部署合適的安全證書並進行加密。 所有敏感資訊需要被正確地加密，這樣可以使得當攻擊者進入你的系統時，他所盜取的資訊仍需解密才能使用。 但僅僅有加密密碼是遠遠不夠的：如你所知，人們常常使用生日日期作為密碼，同樣也對這樣的密碼加密。 技術應該盡可能地保護使用者免受其害。

這個空間裡有一個十分有趣的解決辦法就是Porticor的虛擬專用資料。 它的實質是一個加密層，這個加密層被透明地安置在任何一個個雲資料存儲區的頂部並執行動態資料的加密解密，如：獲取訪問資料。 我建議，如果你對雲計算應用程式有興趣，不妨看看他們的解決方案。

在雲棧的較低層，雲安全問題與雲計算時代來臨之前一模一樣。 雲平臺需要的安全只是作業系統的安全——避免切入其他執行會話或竊取資料的惡意程式碼等等。 在基礎結構層中，安全不僅需要維護虛擬化的環境也需要保障人身安全。 幸運的是，大多數頂級的雲端基礎架構供應商已經具備了很強的安全意識，正在減少來自這一方面的危險。

程式如果一個攻擊者打電話給你的接待員，並利用她的網路系統管理員密碼在你的公司網路上安裝了惡意程式碼，那麼所有的技術都不能拯救你了。 在使用雲技術的案例中，這種可能的確真實存在於私人網路中，而這樣的情況則不會發生在一家大型的企業裡，發生在數量驚人的中小型企業裡倒是有可能。

舉個例子，如果一個公司正在使用來自Rackspace的Windows雲伺服器，它會採用一個相當複雜的密碼和已經啟動的自動更新的防火牆等等。 ——很多時候，人們在設定密碼時為了方便記憶，常常會採用諸如「password」，「Pass1234」之類的密碼。 （因為一個安全密碼必須要包含大寫字母和數位）——並會創建一個不受保護的，連結到伺服器的FTP通道，「僅僅是為了複製少量資訊」。 它的初衷是成為一個安全伺服器，但現在卻變成了岌岌可危的安全性漏洞。 擁有合適的安全工具是遠遠不夠的。 公司需要建立起一個能將這些工具付諸實踐的過程。

公司還低估了將正確的資訊安全政策通知給全體員工的重要性。 當公司裡的每個人都擁有安全意識的時候，真正的安全才能更快到來。 安全的進程並不始于技術，而在於人，適當的、持續的交流是根本。

責任到目前為止，我們談論到的這兩個方面都十分常規。 然而，雲應用需要有比傳統的內部應用程式更強的安全意識，這項技術的發展需要相當標準的附加安全。 對於雲安全伺服器，同樣如此。 論及責任，雲安全和傳統安全有著巨大的差別。 當一個公司發展傳統的軟體時，IT知道它的責任。 資料中心運作和控制著軟體，然而任何可能都會發生——資料被盜，伺服器被攻擊等等。 這就是他們的責任。 自從IT對環境有了完全的控制權，他們就自然而然地擔負起了這樣的責任。

當這一切放在雲計算上，IT部門就會失去對環境的控制。 這很好理解。 接著，他們不願意為即將發生的問題負責。 有明確的責任分工可以有助於：託管供應商需要確保安全的基礎平臺（虛擬化層、人身安全等等）。 其餘部分的責任將落在客戶身上。 但是這還不夠。 供應商需要提供風險保障，瞭解內部IT部門的來歷並改善關係，減輕他們的焦慮。

綜述這些方面的因素都需要放在一起考慮，否則我們就得承擔創建一個比現在更複雜的環境的風險。 某種程度上說，通過提供福利或者讓常規的安全管理自動化，雲有能力讓一切變得更安全。 另一方面，資料集中在少有的幾個服務提供者手裡能增加專案的吸引力，增加這些公司的責任感。

不是僅關注技術，程式或是合同某一項，就可以消除雲的安全隱患，每個關心雲計算的人都應該看到整個安全方案而不是某個環節。

(責任編輯：蒙遺善)