云计算如何解决层出不穷的安全问题

向五个不同的人提出一个有关云安全的问题,可能会得到五个不同的观点。

云现象正在迅速地发展和变化,以至于安全等相关的规定很难跟上其发展。适用于的云的概念,如多租户和统一用户身份识别等,正在迫使安全厂商提供新的和更好的应对措施。但是,当他们准备好的时候,云可能已经产生了一套全新的安全挑战。

标准也许是一个答案,也许不是一个答案,因为标准有一个固定的时间以跟上或者预测快速发展的创新。因此,必须有一种方法对一些东西实施标准化以帮助不断地提出有关云安全的关键概念的架构和协议。

这正是非盈利组织云安全联盟(Cloud Security Alliance)要做的事情。云安全联盟创建于2009年,拥有2万个成员,经常被当作向云计算提供安全方面的主要声音。正如云安全联盟成员和Sallie Mae公司首席安全官杰里·阿切尔(Jerry Archer)解释的那样,这个组织并不想成为一个标准组织,而是寻求一些方法推广最佳做法。这些最佳做法将是用户、IT审计人员、云和安全解决方案提供商一致认可的。

一个成果是云安全联盟的GRC栈。这是一套工具,可帮助人们根据行业最佳做法、标准和重要的遵从法规的要求评估和指导云。同云安全联盟制作的所有其它工具一样,这个GRC栈免费提供给这个组织的任成员下载(不过,企业赞助商提供费用)。

阿切尔在接受《网络世界》采访中解释了云安全联盟的工作方式以及我们如何能够解决云中的安全问题,他还解释了云将如果改善我们的安全。

问:向我们高水平地解释一下云安全联盟做什么?

阿切尔答:你可以把我们做的事情分为五个大的方面。1.我们正在制定战略,特别是为围绕你如何进入云和你需要考虑什么事情。2.教育。帮助教育人们了解云安全问题。3.我们正在围绕审计和遵从法规建立最佳做法框架。我们正在把一些典型的SAS 70控制和其它审计体制转变为用于云的框架。4.我们正在研究评估问题,如果从评估安全的角度观察云。5.我们在观察未来是什么样子。

问:云安全联盟如何确定研究什么项目?

答:云安全联盟使用严格的组外包或者云外包。我们目前拥有2万个成员。任何成员都可以提出想法。你可以向这个组提出一个想法。如果你的想法有吸引力,人们将与你合作,然后你会得到批准。

在开始的时候,我们没有研究资金。现在,我们拥有资金,因为我们有赞助的企业并且还有人投资一些工作。但是,保证客观性对于我们来说是重要的。因此,这个委员会不断地进行检查以保证没有厂商超额认购,也就是为一个指定领域的研究提供过多的资金。我们不想亏欠任何一家公司。

问:你们曾说云安全联盟不想制定任何类似于SAS 70或者PCI那样的硬标准。为什么会这样,你如何评价你们对云计算行业的贡献?

答:我们认为,行业标准应该由ISO(国际标准组织)和其它善于制定标准的那些组织来制定。我们经常与现有的标准组织合作以提供忠告和指导。但是,我们认为,如果我们不与任何具体的标准捆绑在一起,我们会更灵活一些。我们与国际标准组织和国际电信联盟有正式的联盟关系。我们向他们提供研究成果和资源,帮助他们的工作。我们还与NIST(美国国家标准及技术研究所)合作。我们希望与其它标准组织建立合作关系。

问:你认为用户要求云提供商详细介绍有关他们的云安全措施的权利与云提供商处于安全考虑对这些细节保密的权利有什么冲突吗?

答:提供商也许永远不想告诉任何人他们的防火墙是如果设置的以及类似的事情。另一方面,如果正确地传递,有大量的信息从遵从法规或者安全观点看是非常有用的。

如果我们把事实与夸张的宣传区别开来,作为云的消费者,我就会得到有关我的应用今天在什么地方运行以及如何运行的足够信息,并且完全不会影响你的安全。因此,向我提供我需要的这些信息,我就会信任我所在的环境。

事实上,从消费者的方面看,事情会变得更加简单,因为应用程序会变得仪表化,你可以确定这些应用程序是否处在正确的环境中。DARPA(美国国防部高级研究计划局)已经对多租户环境进行了大量的研究。他们研究了应用程序的控制,让应用程序汇报它的环境的安全。