云安全标准任重道远 虚拟环境是最大挑战

从云计算诞生的那天起,对于其安全问题的探讨就没有停歇过。如今,云计算理念日益走向成熟,伴随着一个个云计算项目的实施,云计算已经开始在中国落地。然而,试问任一家企业用户,抑或是云计算项目的参与者与实施者,他们真的可以“坦诚”地张开双臂、来拥抱“云”吗?答案是否定的。

究竟是何种原因导致大家对“云计算”望而却步?云计算环境下的安全防护与传统IT安全有何区别?作为用户和服务提供商,我们如何去面对云计算的安全问题?带着以上疑问,TechTarget云计算网站记者近日在上海召开的2011年中国云计算服务大会上对趋势科技大中华区执行副总裁张伟钦进行了专访。

虚拟环境为云安全最大挑战

云计算在合理分配企业IT资源,提高企业效率、节约IT成本方面的优势不言而喻,但安全问题却让众多用户对其“望而却步”,云计算环境下的安全防护与传统IT安全有何区别?对于这一问题张总表示,从技术层面上讲,云计算与传统IT环境最大的区别在于其虚拟的计算环境,也正是这一区别导致其安全问题变得异常“棘手”。

在传统的物理环境下,防火墙也是“物理”的,我们很少对其进行位置上的改变。然而,在虚拟的云计算环境下,IT资源和计算能力的“位置”并不固定,要随着业务需求和资源分配需求的变化而变化。这样的需求导致防火墙要变得“虚拟化”,要随着虚拟机的移动而移动。众所周知,但是虚拟机的蔓延和虚拟化的管理已经让许多企业焦头烂额,虚拟防火墙的管理则更是让他们雪上加霜。

此外,张总还表示,随着互联网的高速发展和云计算服务的出现,众多瘦客户端和移动终端设备山呼海啸般涌现出来,智能手机、上网本、iPad、iTouch等苹果设备更是风靡全球。“这些移动终端设备普及速度之迅猛、来势之凶猛,都令许多企业措手不及,”张总补充说,“终端设备的爆炸式增长以及接入端口的多元化让传统的安全系统变得力不从心,从企业安全治理的角度讲,我们目前还没有系统的、行之有效的管理措施。”

因此,张总认为虚拟化的安全和移动终端设备的安全应该是云安全领域值得关注的两大方面。基于以上认识,作为最先在国内提出云安全概念的厂商,趋势科技将自己的云安全战略分为虚拟化安全、数据安全、应用安全以及移动装置安全四大部分。目前,趋势科技已经与以上各大领域厂商建立了合作伙伴关系,并与去年七月份推出了趋势科技云安全3.0全面防护云平台,以上几大安全领域均涵盖在内。

云安全标准任重道远

在云计算安全问题面前,任何一家厂商或运营商都变得有些形单影只。业内普遍认为,要想从根本上解决云计算的安全问题,众多安全厂商乃至其它IT领域厂商都需要寻求合作,共同推进统一云安全标准的建立。

对此,张总表示非常赞同。“用户目前最需要的是一个云计算服务好坏、出现服务故障之后如何去解决、在多久时间内解决的一个衡量标准,而不是厂商单方面的保证,”张总解释说,“而这一标准的建立,需要众多云计算服务厂商和安全厂商协作完成。其中,亚马逊、谷歌等云计算领域的先行者要走到前排,将自己领先的服务理念和经验分享给大家。”

事实上,趋势科技本身便是CSA(云安全联盟)的创始人之一,在推进CSA发展,制定云计算安全标准和技术指导方面做出了不小的贡献。作为云计算的最终用户,要给予云安全问题足够的关注,但不可对其全盘否定。张总建议,对于一些安全敏感度不高的应用,我们可以先将其迁移到云中进行试点,并逐步推广到其它领域,此外,用户也应该尽快完成管理理念上的转变,IT安全并非依靠安全厂商和产品就能完全解决,管理方面的措施有些时候也显得非常必要,尤其是在当前云安全技术并未完全走向成熟的时期。