雲如何解決安全問題

向五個不同的人提出一個有關雲安全的問題，可能會得到五個不同的觀點。

雲現象正在迅速地發展和變化，以至於安全等相關的規定很難跟上其發展。 適用于的雲的概念，如多租戶和統一使用者身份識別等，正在迫使安全廠商提供新的和更好的應對措施。 但是，當他們準備好的時候，雲可能已經產生了一套全新的安全挑戰。

標準也許是一個答案，也許不是一個答案，因為標準有一個固定的時間以跟上或者預測快速發展的創新。 因此，必須有一種方法對一些東西實施標準化以説明不斷地提出有關雲安全的關鍵概念的架構和協定。

這正是非盈利組織雲安全聯盟(Cloud Security Alliance)要做的事情。 雲安全聯盟創建于2009年，擁有2萬個成員，經常被當作向雲計算提供安全方面的主要聲音。 正如雲安全聯盟成員和Sallie Mae公司首席安全官傑裡·阿切爾(Jerry Archer)解釋的那樣，這個組織並不想成為一個標準組織，而是尋求一些方法推廣最佳做法。 這些最佳做法將是使用者、IT審計人員、雲和安全解決方案供應商一致認可的。

一個成果是雲安全聯盟的GRC棧。 這是一套工具，可説明人們根據行業最佳做法、標準和重要的遵從法規的要求評估和指導雲。 同雲安全聯盟製作的所有其它工具一樣，這個GRC棧免費提供給這個組織的任成員下載(不過，企業贊助商提供費用)。

阿切爾在接受《網路世界》採訪中解釋了雲安全聯盟的工作方式以及我們如何能夠解決雲中的安全問題，他還解釋了雲將如果改善我們的安全。

問：向我們高水準地解釋一下雲安全聯盟做什麼？

阿切爾答：你可以把我們做的事情分為五個大的方面。 1.我們正在制定戰略，特別是為圍繞你如何進入雲和你需要考慮什麼事情。 2.教育。 説明教育人們瞭解雲安全問題。 3.我們正在圍繞審計和遵從法規建立最佳做法框架。 我們正在把一些典型的SAS 70控制和其它審計體制轉變為用於雲的框架。 4.我們正在研究評估問題，如果從評估安全的角度觀察雲。 5.我們在觀察未來是什麼樣子。

問：雲安全聯盟如何確定研究什麼專案？

答：雲安全聯盟使用嚴格的組外包或者雲外包。 我們目前擁有2萬個成員。 任何成員都可以提出想法。 你可以向這個組提出一個想法。 如果你的想法有吸引力，人們將與你合作，然後你會得到批准。

在開始的時候，我們沒有研究資金。 現在，我們擁有資金，因為我們有贊助的企業並且還有人投資一些工作。 但是，保證客觀性對於我們來說是重要的。 因此，這個委員會不斷地進行檢查以保證沒有廠商超額認購，也就是為一個指定領域的研究提供過多的資金。 我們不想虧欠任何一家公司。

問：你們曾說雲安全聯盟不想制定任何類似于SAS 70或者PCI那樣的硬標準。 為什麼會這樣，你如何評價你們對雲計算行業的貢獻？

答：我們認為，行業標準應該由ISO(國際標準組織)和其它善於制定標準的那些組織來制定。 我們經常與現有的標準組織合作以提供忠告和指導。 但是，我們認為，如果我們不與任何具體的標準捆綁在一起，我們會更靈活一些。 我們與國際標準組織和國際電信聯盟有正式的聯盟關係。 我們向他們提供研究成果和資源，説明他們的工作。 我們還與NIST(美國國家標準及技術研究所)合作。 我們希望與其它標準組織建立合作關係。

問：你認為使用者要求雲供應商詳細介紹有關他們的雲安全措施的權利與雲供應商處於安全考慮對這些細節保密的權利有什麼衝突嗎？

答：供應商也許永遠不想告訴任何人他們的防火牆是如果設置的以及類似的事情。 另一方面，如果正確地傳遞，有大量的資訊從遵從法規或者安全觀點看是非常有用的。

如果我們把事實與誇張的宣傳區別開來，作為雲的消費者，我就會得到有關我的應用今天在什麼地方運行以及如何運行的足夠資訊，並且完全不會影響你的安全。 因此，向我提供我需要的這些資訊，我就會信任我所在的環境。

事實上，從消費者的方面看，事情會變得更加簡單，因為應用程式會變得儀錶化，你可以確定這些應用程式是否處在正確的環境中。 DARPA(美國國防部高級研究計畫局)已經對多租戶環境進行了大量的研究。 他們研究了應用程式的控制，讓應用程式彙報它的環境的安全。

問：儀錶化的應用程式是如果工作的？

答：在一個簡單的例子中，這個應用程式知道它要去什麼地方。 這個應用程式知道它將在什麼電腦上運行，它實際上將使用什麼作業系統並且通過詢問這些事情建立一個指紋，稱「我在正確的環境中，補丁水準是如何，等等」。

它可以是基於性能的，稱我知道我打算做這些事情。 它可以測試這個代碼的合法性。 如果答案不正確，那麼，你知道你被騙了。

你可以做各種類型的事情以提供有關這個應用程式正在運行的環境的大量的知識。 最終，那可能是你要去的地方。

問：雲安全聯盟對於雲的未來能夠預測多遠，你如何看這個問題？

答：我們的大多數重點仍然是建立雲計算的基本要素。 但是，深思熟慮的領導者有助於影響建立這個基礎的戰術方面，因此這是可以轉移的。 所以，我們不必把這個基礎分開並且在每一次進入到雲的另一個週期的時候都重建這個基礎。

從未來的方面看，我認為，任何人告訴你他們能夠預測兩年後的雲的狀況，那是天真的。 一切都在變化。 我們不能預測所有這些變化的結果。 雲計算與從大型機過渡到分散式系統是不同的，雲計算將改變有關計算的一切。

問：我的問題是，當MIP成本幾乎為零和存儲成本幾乎為零的時候會發生什麼事情？

答：每一個人都將使用雲，並且安全將繼續發展。 例如，完全同型的加密將讓我不必解密就能處理資料。 在我能夠做全面同型加密的同時，我就可以把我的全部資料放在雲中並且全面加密。 這種方法取消了威脅模式，對嗎?

問題是，要運行全面的同型加密演算法需要使用比我們目前擁有的處理能力還要多的處理能力。 但是，莫爾定律達到那個水準只需要很短的時間。

問：那麼，雲安全將能夠跟上雲計算中的變化嗎？

答：是的。 雲中的安全將改善。 應用雲的像Sallie Mae那樣的公司、金融公司和其它公司要求得到與他們現在擁有的安全水準相同的或者更好的安全水準。

對供應商提出的這種要求將轉變為讓每一個人都得到同樣的結果。 因此，不能依靠自己的購買足夠的安全措施的小企業將得到應用雲服務的大企業所得到的同樣好的安全產品。 我們將有能夠有效地提供安全的大型供應商。 雲中的安全將得到改善。 我們將來都會有更好的安全。