CSA创始人Jim Reavis:Cloud Today, Cloud Tomorrow
[导读]6月5日,第七届中国云计算大会进入第三日。国际的CSA云安全联盟创始人兼CEO Jim Reavis进行了“Cloud Today, Cloud Tomorrow”的主题演讲。
6月5日,第七届中国云计算大会进入第三日。国际的CSA云安全联盟创始人兼CEO Jim Reavis进行了“Cloud Today, Cloud Tomorrow”的主题演讲。
以下为演讲实录:
非常感谢!我不知道是谁刚才那个图片上的照片可能是很久以前的照片,不知道是不是我。非常高兴来到这里,被邀请到第七届中国云计算大会上发言。
各位尊敬的来宾,我想看看我是否能给大家一些好的建议跟大家分享。七年,这意味着什么?就是云计算成长了,但还是很年轻,如果看一下一个7岁的孩子,他们可能并不疗效他们自己的潜力在哪里?但是,如果往后站一步,好好的思考一下我们的IT,我们可以看到,云计算可以帮助我们更加高效的运作。如果我们再思考一下我们拥有的资源,我们可以接触到无限的能力。所以,我们的能力会不断的加强来解决各种各样的困难和问题,可能系我们以前无法想象的困难。
因为在我们的历史上,云计算或者计算本身,其实最开始是可怕的一件事情,很少有人能够做出决定,并且制定战略,但是现在可能世界上每个人都能够接触到我们这种虚拟的能力,云计算的力量。不管是医疗,还是在餐饮,还是疾病,还是在其他的行业,还是更加高效的经济体,经济的发展等等。可能我们每个人都会花时间在微信上沟通等等,可能都是云计算给我们带来的优势和好处。
安全可能是一个很重要的因素,是我们去考量的,从而保证我们领域的发展,行业的发展,使它更有操作性。当然,能够允许我们建立一种信任,我们能够有一个全球有信用的经济体,能够是基于新的云计算范式来操作。如果我是7岁孩子,我的父亲会鼓励到我外面去玩。我的母亲就会说,要注意安全,不管做什么都要安全第一。所以,我们CSA其实就是大家的母亲的一个角色,保证大家在云计算方面,云操作方面更加的安全。它本身其实也就向大家展示了我们做了很多的研究,我们有最佳实践,我们在不断的开发我们一些认证,不管是教育,还是什么方面,都是为每一个个人或者专业人士提供教育。
我们可以预测一下未来,如果在全球做这样的业务,我们必须要建立很好的关系,政、企、研进行合作,如果看一下在座的各位,我们经常跟大家在北京或者其他地方去沟通,很多人都会来到这样的盛会。我们正在生活在一个全球的社区,我们共同来解决面临的问题。所以,我今天想跟大家谈论的问题就是我们看一下我们会有一些什么样的趋势,需要我们从安全的视角去考虑我们的问题。当然,我 现在所做的研究,可能也是需要在其他地方进行的研究,可能会激励你们跟我们一起合作。
所以,当我在谈论到企业,大型公司的时候,2015年我们其实也可以看到,也是七年之前跟这些公司说的话,那就是你们可能还没有采取云计算。现在我们会说,我们现在建立一个非常重要的、核心的数据中心的一个策略。很多人归开始去考虑安全的问题。
从三种独一无二的方式去思考。首先,你想建立这样一个战略,就是在你信息变化之后要建立一个IT的架构,当然对每个开发商来说,你要改变你们传统的运作方式,云计算会极大的进行改变。所以,第一、你们会有这样一个意识,就是云计算会很大的改变你们工作的方式。很多大型的企业在北美,他们都会有800到1000多个比如说数据中心服务器来收集信息。那么,他们当然会很关注安全的问题。当时,他们这个安全方面所做的预算,或者是付出的资金可能只占总共资金的10%。当然,我们认为这方面还是有很多商机存在的,因为CEO会说,云运作的更快,内部的数据中心,你们的思维方式要进行改变,提高我们的效率。所以,我们现在看到的问题,就是云第一的这样一种策略。我们可能建立了很多的组织,首先,它要评估的就是我能不能把我们的业务都搬上云去,如果不能,我们要找另外一个方式做业务,所以这就是我们战略的改变,战略是非常重要的。
今天我们可能在一个组织只有1.5,以后可能变成2.5,或者更多,就是在云安全方面采取的战略要更重一些,那就是对于业务来说,安全是对重要的。比如说我们能够更好的,也就是把这些各种各样的云进行连接,这个是非常重要的。所以,那就是我们混合云的概念。很多的组织现在都会从高层去思考云的安全问题。最开始他们会去考虑数据的安全,然后看看能做一些什么样的研究。也就是我们大部分去接触的公司都会说从数据开始去思考安全性,不管是大型的公司,他们都会说,比如85000个数据中心,还是一些小的数据中心,他们可能都会采取不同的云,比如私有云、公有云等等。但是,我们可以看到他们每天应用的命令和指令都是不一样的。在不同的城市,他们的情况都会有所不同。所以,我们其实还要思考更多的内容。
那么,现在这些企业的领导者都在思考什么呢?他们试图要做些什么呢?是希望让事情更好,更加安全,更加可获得。我们可以看到,在安全领域来说,特别是你回顾它的历史,可能我们都会有这样的一个诉求。当然,如果我们开始有了命令,你就开始要熟悉它,比如CASB,这个就是我们要有这样一个理念,任何一个组织,比如之政府的部门,不管你的权力有多大,他们都不能够命令不同的云的供应商说我在同一个统一的平台上去运作。所以我们现在发现了,就是我们需要一个终结,这个经纪人要做的事情就是连通各方,首先给你这样一个意识,还赋予你一些能力,甚至会把所有的这些信息进行整合。也就是跟最终端的Cloud的供应商接触之前,会把其他相关方的信息进行一个整合。所以,我们认为我们现在所做的工作是非常重要的,就是做一个中间人的角色。
真正的领导者他们都已经参与了我们所谓的DevOps事情,就是在这里有有关于DevOps的峰会,这一点是越来越重要了,我们希望看一下能不能改变我们的模式,也就是说,能够帮助我们数据整合和更新。比如说像eBay,他们就有这样的一个转变,比如花几个月的时间不断的更新他们的数据,不管是软件的更新,还是其他方面的更新,他们都需要开发一些软件来不断的去应对新的发展诉求。
那么,在今天我们设计了很多的内容,还设计了我们所谓的容器的技术,这一方面我们也希望创建一个统一的层面,不管你开发什么样的软件,或者不同的容器,也解决我们任何一种虚拟的机器,我们都需要创建一个统一的能力,也就是去重新发明,冲洗你的这些软件。所以,我们会建立各种各样的容器的模式,比如Docker,我们来看一下我们客户的需求。然后他会把他的想法和要求告诉他这个产品的供应商。这样我们在如何应用这样的计算工具方面要花更多的力气去理解,投入更多的资源来解决这些问题。但是我们希望能够找到更快的方式,比之前的效率更高。比如说大数据的整合,放在一个资源池里,比如我们下一代的管理人员能快速的接手和适应。所以,这是关于安全分析方面,也是我们考虑的问题。
下一点,就是物联网的整合。我觉得当今所有的组织,不管什么样的交通领域,还是其他的领域,零售领域,还是管控系统,这都是我们今天面临的情况,各行各业都会需要以太网的整合,物联网的整合。比如说在搜索引擎,输入请求信息,然后获得答案。当然,我们现在正在创建的是希望创建新的本地云的安全的战略,而不是从零开始。所以,我们说的这个物联网,如果没有云是没有办法运作的,也就没有云就没有终端,不管是云的管理,还是为了互联网的相关的其他的操作,如果没有这个云是不可能建立起来的。所以,我们早期的研究都是希望能够试图理解,在这里我列举了一系列问题。你可以直接上这个网站下载我们的报告。几乎每一个关注物联网的人,其实都是从一个有限的角度来看。就像盲人摸象,没有看到全局,没有从生态系统看待我们的物联网。比如我们的软件是如何开发的,我们的私密性如何去保护,我们如何看它与其他事情是怎么联系在一起的?
所以,我们现在要思考的就是如何建立一个生态系统,非常好的是我们现在已经有一个基本的模式可以去使用。但是,挑战却在于物联网会非常的多元,由各种各样小的系统来组成,所以我们要做的工作还是非常多的。但是我认为云至少给了我们一个很好的可能性来创造各种机遇。
看一下我们今后云会是什么样子。比如说预测一下五年之后,2020年我们可能会看到一些大型的公司,他们是在IT系统方面,我百分之百一定是在云方面非常领先的公司,才能成为大型的公司,其他公司都会追随他们,他们也会一样在云端去建立他们很好的IT系统。大部分的这些设备,都是在云端建立起来的,而不是他们自己的一个所有物。他们可以进行直接的管理,在他们组织内部就可以进行直接的管理。比如说我们还可以去聘请第三方来帮助你。到2020年,我们可以看到控制这个云端的都不会是传统的物联网的一些设施,设备。所以,我们如何去面对这样的挑战呢?所以,我们会需要进行教育,提供一些资质,获得一些认证,只有这样共同的努力,做更多的研究,才能保证我们的云更加的安全。比如公有云,我觉得这可能是从安全角度最理想的一个状态,并不是最便宜,但是我觉得安全性是最为关注的一个焦点。
当我们思考这些问题的时候,有一些不同的项目是我们现在工作和努力的。有些公司,他们更关注安全,比如信任、治理。我们说公司治理,企业治理都是基于透明度的,透明度是一个非常关键的构成因素。所以,我们会思考我们的卖方,他们是不是能建立一个中立的互相理解的一个标准。我们也会思考一些新的技术,因为我们知道在很多的角度来说,我们的业务模式都是基于新技术,虚拟化来发展的。所以,我觉得现在我们都与一些高等院校的研究机构进行合作来发展新的技术,满足云计算的需求。当然,我们也会去重新审视我们现在在云端的安全战略,这也是我们一直在谈论的话题。
所以,我认为CSA现在我们有一个CSA STAR的项目,也是基于我们安全控制的一个系统,这样的一个协议,希望涉及整个行业。我们也会基于云的控制的矩阵进行一个原始框架的建立,也希望注册世界上最大的源保险体系,我们对中国市场已经开发了一个专门的版本,我们这里有一些关键的原则,我们不会命令每个人去做,其实它是行业的问题,每个国家的问题,而关键是要实行这种整合化,和谐统一化,其实这个是很难做到的。中国其实有能力建立自己的安全标准,为中国自己的客户来服务。当然,与此同时,还要与全球的相关的相关方来进行竞争,当然我们还会增加更多的一些创新型的元素,我们会有自己的安全控制框架,然后能够与行业的领导者进行竞争,因为他们更了解这个行业发生的变化,以及安全方面的需求。
最重要的是我们应该获得一些信息,比如说安全到底怎么样来实现?比如说根据我之前所提的云访问安全,安全应该是整个社区所达成的一致意见,以及整个社会网络所达成的一致意见。比如微信他们怎么样来认为云安全?我觉得这是非常重要的一点。我们现在也与来源于不同地方的这些信息进行合作。另外一个领域叫做虚拟私有云,之前我们也听到了,从供应商的角度来讲,他们会有私有云,但是我们这里所说的是虚拟私有云,对银行他们可以有虚拟私有云,他们可能要求十个不同的供应商来提供。大家可以考虑一下,虚拟私有云它可以改变公司的结构,改变他们每天的交流,会涉及到很多的信息沟通和交流。我们已经拥有了技术,我们只是把不同的技术组合在一起,我觉得这应该是非常强有力的。我们应该知道在哪里放密钥,在哪里进行加密,来确保我们能够有合适的方法来进行部署。我觉得对我们来说来保证云的安全是非常大的一项工作,也是很重要的一项工作。
看一下加密以及密钥的管理。我们马上会有一些发布,关于在API方面,因为它会获得软件即服务的支持,以及会获得云密钥中心的支持,这样你就可以信任,就是你的应用不会受影响,同时你也会相信对于云的供应商来说,就是他们不会看到你的应用里边所存储的这个信息。那么,对于存储是比较容易的,但是在软件即应用方面是比较难的,而且我们可以通过API来实现。我们也需要在虚拟化做更多的工作,我们需要了解最佳的一些安全方面的做法,还包括其他的项目,包括SDP,解决我们所说的SDP,也就是说,动态的一些参数。
我们需要进一步的加强关于物联网方面的一些联系,一些研究,现在我们也与中国的社科院来进行合作。除此之外我们还有专门的工作组来做这方面的工作。什么是SDP呢?我有一张幻灯片,我们可以简要的来看一下。那么,这个观念是源于情报部门和军事部门,也解决我们要创建一个开源的模式来实现。那么,它一共包括五层的安全控制,但是我们会把这个控制数据流以一种非常一致的方式分离出来,也就是说在中间我们会有一个虚拟的控制器。在这里有很多的一些案例讲的都是虚拟私有云的创立。
另外一个非常好的例子,SDP的物联网的使用案例。我在家里面有一个恒温计,我的这个恒温计,我只是希望它能够用在某一个地方,我自己能够使用它,我不希望在世界各地,都能够有人去访问它。所以这也是一种端到端的服务。同时,我们还有很多的关于SDP的研究,如果你们可以在网上利用你们最喜欢的搜索引擎,比如你们可以看到可口可乐也是我们的合作伙伴,将来他们的可乐机可以直接通过云联系在一起,这样可以提供更为智能的设备。还有很多非常有意思的事情都会发生。另外我们还有SDP的竞赛,他们都是通过开源的方式来实现,我也希望你们能够参与进来,也许你们能够创建更好的,更多的一些用户案例。
在我们讲到安全的时候,过去几年当中我们也已经了解了很多安全方面的情况,我们都知道虚拟机可能是非常瞬时的,如果我们看一下系统的发展情况,如果我们使用虚拟机,有的时候它可能会带来一些各种各样的问题,安全等等。所以,我们希望能够把所有的这些知识整合在一起,放在我们新的研究里面去。比如说如果我们从现在开始,做安全方面的工作,我们怎么做呢?首先你会做很多的分析工作,你需要了解整个系统,现在云上的这个系统是临时的,也就是很多的时候,安全是作为一种服务来提供了,而不是像以前那个样子,你买了之后,然后去用它。
今天我们在安全方面已经取得了很大的进展。比如向我们的这个会议都已经是第七届了,在我看来,对机构来说,最大的风险是什么呢?我觉得可能并不是说你拥抱不拥抱云的问题,如果我们看一下遗留的系统,以及我们的操作系统,比如这个厂商所支持的那些操作系统。有一些是已经过时了,过时了之后,可能就无法对其进行升级了,所以很多时候硬件的选择也是非常有限的。我们再看一下那些大量的代码,可能我们的开发人员并不具备相应的语言方面的技能。我觉得这些领域都可能是很大的风险的地方。看一下遗留的一些系统,比如在有一些机构里面,可能有遗留的设备,像老的计算机从一个地方搬到另外一个地方也都是很大的工作量。对于遗留的IT系统,特别是固定的不能搬动的系统,它实际上也是一个很大的风险所在。我们也知道将来的云提供商,他们也会在安全方面投入大量的资金来确保安全。对用户来说,他们需要很好的安全。但是,他们自己可能没有更多的精力来做这件事情,所以可能需要供应商,就是云供应商,云服务商来更多的保证安全方面。
这边是不同的一些研究项目,是我参考的,就是今天我所提到的不同的项目,我觉得我们应该把安全作为服务来进行交付。也包括安全即服务,移动,还有大数据等等,这些都是我参考的一些案例。让我们一起来合作,我知道,我们亚太区的办公是用微信,我自己用的是Twitter,但是我们也是有一些联系方式的。我想感谢大家的关注,也感谢邀请我在这里演讲,我也希望明年我们会看到这个会会更大,而且云也会变得更加安全。非常感谢!