RSA:确保云计算可信不只要承诺还要检验

2011年2月15日,EMC公司执行副总裁兼EMC信息安全事业部RSA董事会执行主席亚瑟 科维洛先生在2011 RSA大会的开幕主题演讲中,阐述了一项可以终结云计算信任缺失的公司战略。正是由于缺乏信任,很多企业始终踯躅不前,不敢在云环境中部署关键任务应用。

不仅是通过主题演讲,在今天发布的题为“要检验不要承诺:建立可信云”的EMC愿景书(EMC Vision Paper)中,EMC也向传统的云思维发起了挑战。EMC坚信,云可以满足任何业务流程对信息安全、法规遵从和性能的要求,即使如PCI等最严格的要求也不例外。不过,要让云可信,必须能亲自检查和监控云的实际状况,而不能仅依据外部证明。惟有重新思考长久以来的信息安全理念,以创新方式运用现有技术,才能实现这样的可信云。

科维洛先生表示:“今天,企业利用云环境面临的首要信息安全挑战,是使云可控和可见,这也是EMC致力于解决的根本问题。承诺是指你‘能’实现云安全。承诺是指我们‘能’以不同于以往的方式,从根本上实现信息安全。‘检验’是指我们在利用虚拟技术时能做到可控和可见,实现云环境可信的这两个关键要素。”

过去几十年中,IT计算模式从大型机、客户-服务器转变到了Web。科维洛先生指出,与这些转变一样,虚拟化和云计算的根本目标也是实现安全性,即在可控、可管理的系统中,通过可信的基础架构,将恰当的信息提供给恰当的人。然而,跟之前的IT变革相比,科维洛断言,由于在信息、身份和基础架构这三个信息安全的核心变量发生了巨大的变数,如果不恰当地应对,可能导致可控性和可见性方面的挑战。

科维洛先生提到:“虚拟化是云中一线曙光,因为虚拟化使云能超越现实IT系统所能提供的受控度和可见度。通过将多个系统合并到单个平台上,企业获得了一个集中控制点,因而可管理并监控所有虚拟基础架构的组件。”

要获得这种无与轮比的可见性和综合控制,虚拟化和云基础架构的安全必须符合三个基础条件:

1.安全变得更逻辑和以信息为核心,定义逻辑的而非物理的边界,专注于保护敏感信息和交易而非基础架构。

2.内置到基础架构和应用中的安全性,同时安全管理控制达到非常高的自动化程度,要以云的速度和规模使信息安全和法规遵从发挥作用,这样的安全性是必不可少的。实现这样的安全性意味着,须将安全性置入虚拟化组件中,而且通过扩展,可将安全性分布到整个云中。

3.基于风险和自适应的安全性,有了这样的安全性,企业就可以减轻对静态规则和特征的依赖,转而通过实时数据分析预测安全风险,并主动做出调整。

科维洛先生最后说道:“通过这三条途径,我们能达到更高的可控性和可见性水平,从而产生关键证据,如果你想建立信任,那么依据这种证据就可以了。企业能第一时间检查和认证各种情况是可信云的最高标准。这是一个基于证明而非承诺的标准。”

Vmware联合总裁兼首席发展官Richard McAniff与科维洛同台演讲,展示了在VMware虚拟基础架构中嵌入安全控制,实现安全、可信云的几个核心概念。例如,McAniff展示出,结合 VMware vShield 技术和RSA 防数据丢失(DLP)解决方案,可以在虚拟基础架构层自动实现信息的分类、发现、安全策略升级。

McAniff说,“这对企业意味着,采取以信息为核心的途径,在他们的基础架构中建立安全区。设想一下,你的基础架构可以告诉你:‘建议这里是PCI、PII、PHI的区域’这真正是很智能的基础架构。这个例子说明了我们与RSA协作的关键点,即将安全控制嵌入到虚拟基础架构,自动管理,帮助企业简化安全、可信云的建立和运营。”