最近,关于云计算采用率和云计算需求的讨论数量与日俱增,我们看到,安全仍将是云计算技术或其他与云计算相关的技术的敏感字眼,也将引领着这些技术的发展。
在云中,我们对数据和应用程序采取的一些做法不仅不被任何人约束,而且还会对数据拥有着和数据指向的人们构成安全和相关的隐私风险。
在这一系列的文章中,我不打算解决云中的安全问题。我希望能够确定云中的问题,并能够提出几个解决这些问题的有效的方式。一如往常一样,欢迎大家进行评论。
从用词上来看,"云计算"看起来还算是新兴词汇,但是这一想法却早就出现了。为了完成这篇文章,我对云计算的定义进行了专门的研究,发现人们对云计算的不同定义有很多。包括下列的所有技术:
1、网格
2、VMWare和Xen型虚拟机
3、IBM型主机
4、Amazon型灵活存储
5、英特尔VTX型管理程序
6、页文件
还有很多可以替代这些特殊技术的技术,我建议我们还是首先确定一下云计算有哪些特出的特点。为了在本文中给大家提出一些建议,我将云计算定义为具有如下特点的技术:
"基于服务的数据处理和存储能力,具有灵活性、可扩展性和虚拟性的特点。"
有些人可能还会增加如下的定义:
"需要通过互联网提供"
在我看来,定义的后半部分是可选的,这样做的目的是为了便于讨论安全问题。我发现,对于安全基本原则来说,在这里连接方式并不重要,因此,我们在接下来的讨论中可以包括本地虚拟机。
总体来说,云计算可帮助用户节约建立或购买虚拟机时的花费。同样,在部署虚拟机的时候,有的人不会购买各种各样的服务器或单独的处理器。我发现了"计算"的一些边缘的含义(包括存储,处理能力等等)十分引人瞩目。在不久的将来,预计我们将不需要再关心计算切片被存放在本地还是世界各地。只要服务供应商能够及时和有效地提供计算服务,我们就会对他们感到满意了。
在解决基于云的交付问题时,安全方面的问题就变得多起来。我们不再通过"纵深防御"概念直接进行控制,而是进行最佳的边界控制。很多时候,例如Amazon的EC2服务,我们几乎没有控制,我这么说并不是一语双关。一旦云中的一些东西即将出现问题或者已经出现了问题,我们甚至不会得到最起码的告知。
无论是Amazon服务还是我们的一般管理程序,我们都不需要再进入到机器处理领域进行控制。在Amazon的例子中,起到控制作用的是Amazon的路由器(假设是防火墙)。拿我们的虚拟机管理人员举例来说,我们降低inter-memory系统,并转而处理"黑匣子",也就是那些我们平时很少控制的东西。这些就是安全问题,同时,我还认为这些是法律问题。让我来解释一下。
一旦或者当我们在虚拟机上储存或处理的数据发生违规后,将会发生什么呢?我们随后会知道所发生的一切么?如果我们不知道,我们如何向有关部门汇报我们那些遭到破坏的数据,特别是在数据违规报告法律需要遵守的地方?我们怎么才能知道提升安全的方法?
这些都不是空话。如果你看到Amazon的合同(当然这仅仅是一个例子,我不希望这发生在我欣赏和尊重的Amazon身上),你将会看到如下的句子:
"4.3条:我们对如下情况不负有任何责任:未经授权的访问、更改或删除、破坏、损害、丢失或无法储存、您的内容(如10.2条款所界定的)、您的应用程序、或者其他与您的账户或服务相关的提交或使用的数据。"
"7.2条:我们对于任何未经授权的访问或使用、腐败、删除、破坏或丢失任何您的内容或应用不负有责任。"
这合同中,你看不到的是供应商接受任何责任或职责通知数据所有者(你)任何违规事件,告知你任何企图,你也不能要求他们对任何事件做出反应。通常协议的措辞都是这样的,云计算用户自己承受所有这些风险的责任。因此,这看起来对"违规通知"有规定的法律、任何法规或要求(例如PCI)都不能得到遵守。
一旦上述问题被提出,理解了云计算在改善IT基础和基础设施性能方面的令人难以置信的能力后,我们必须找到一个解决的办法,或者一系列的解决方案,以规范和解决与云相关的和云中的安全问题,以及数据被储存在哪里的问题。
在下一篇文章中,我将探讨这些解决方案的要求,并将涉及到Jericho Group 和云安全联盟提出的出色的建议。我还将发布"行动起来的呼吁"帮助组织(或企业)解决这些在他们看来不但是不可收拾的技术而且满是风险的云安全问题。