事实上,这些技术只解决了部分问题。在云环境下,只使用这些技术还不够,因为这些技术通常只能保护网络通讯以及到云网络边界位置的通讯,但在云网络内部服务器之间的数据流动就无法获得保护了。
以往我们使用的隧道技术在云网络中根本无法真正发挥作用,因为这些技术是一种典型的端点对端点方法,而“端点”在云内的流动非常快,所以使用端点对端点的技术很可能会在云端网络中对扩展、管理和性能等因素产生问题。
我对 Certes Networks 解决这一问题的方法很好奇。他们刚刚发布了 vCEP(Virtual Certes Enforcement Point)。根据他们所公布的资料,“vCEP 是一种虚拟设备,可以让企业保护敏感的网络数据,用安全的方式在虚拟服务器间,以及云端进行流动,而不需要使用隧道技术。这种技术可以加密网络流量,无论是从 IaaS 云基础架构经由广域网到数据中心,或者在云端网络内部的服务器之间流动,都能受到保护。”
什么?对网络通讯加密,但不需要使用隧道技术?OSI 模型是不是在发抖了。
虽然这家公司还没有家喻户晓的声誉,但 Cetres Networks 的确是网络加密方面的领导者,他们在几年前就有了第一个群组加密解决方案。基于群组的加密就不需要用到点对点密钥交换,自然也就不需要隧道技术,这样的技术可以让传输中的数据的加密过程变得更具扩展性和穿透能力。既然云网络上的设置会持续变动,具备可穿透能力加密就变得非常重要。
另外一件有趣的事情是,Certes 的策略与密钥管理系统可以让 IaaS 客户控制自己的策略与密钥。这对需要满足合规性,以及需要对敏感数据进行处理的场合非常重要。同时对于云服务供应商来说,这也是件好事,因为可以帮助客户解决安全上的顾虑,同时还不需要承担法律或管理责任,因为供应商将无法接触或访问客户的策略和密钥。
对数据到云端的传输过程提供安全防护,这样的做法弥补了客户对网络的信任,以及趋势科技 SecureCloud 数据加密网络之间的空白。但这并不是说IPsec 就无用武之地了,不过帮助用户对数据和通讯进行加密与隔离,使其不被其他云服务客户所接触到,这也确实是一件好事!
