在云计算的模式中,应用和数据的安全性到底是提高了,还是降低了?微软负责可信赖计算的副总裁Scott Charney的答案是:云计算增加了安全的可能性,云计算也降低了安全的可能性。看似矛盾的答案却道出了业界在云计算安全问题上的窘况。
那么,在解决云计算安全问题的过程中,是应该先安全后应用,还是先应用后安全?
北京大学软件与微电子学院信息安全系主任卿斯汉教授认为,在目前部署云计算的企业中,解决云计算安全问题的类型主要有三种:一是先推进云应用,再解决安全问题;二是先全面考虑安全问题并制定应对措施,然后再推进云应用;三是应用和安全问题齐头并进。
“从我们搞信息安全的专业人士的角度看,我们当然希望先要对安全问题有大约的风险评估,知道系统在受到什么样的攻击下还能保障安全,这当然是最好的。但是,这么做往往有点过于理想了,有很多东西,尤其是商业模式的发展非常快,这个东西用起来非常方便,很好用的东西就是挡不住。”在工业和信息化部软件与集成电路促进中心(CSIP) 举办的基于安全可控软硬件产品的云计算解决方案推介大会上,卿斯汉教授在接受记者采访时说。
在安全还没搞清楚的情况下,应用先上去了。有时候不是主观可以控制的,像云计算,如果先把安全问题解决了再搞云计算,这是很不现实的。现在有很多像亚马逊、IBM这样的公司都在做云计算。看来是很好的商机就必然要做,不做也会有其他类型的安全风险。卿斯汉认为:“只要商业模式好,就会上云计算,有的公司重视安全,有的公司不重视安全。当然了,重视安全的公司往往得到的回报比较高,不重视安全肯定就会得到一些教训。”
如果一家公司想要部署云计算,其首先要考虑的就是安全问题。云计算对公司到底有没有利益,没有利益不要去往云计算上套。不要认为工信部支持云计算,就硬往云计算上套。如果是这样的话,就有炒作的嫌疑,这是非常不对的。如果确实是因为商业模式需要,有些应用,像游戏云,就可以做大量中小型游戏企业。很多游戏进入公测阶段的非常少,经常死掉,游戏云平台建立起来之后可以避免这些没有进入公测的游戏死掉。卿斯汉说:“这就是云计算带来的实在的好处,这样的云计算就可以做。做的过程当中要很好地重视云安全,一定要做出来,但是可以保证它万无一失。我的意思就是他要进行失败的设计,要考虑万一出了问题,怎么规避风险,比如冗余、备份等,这些东西都要考虑到。”
目前全世界对云安全都没有完全明晰的界定,像美国标准局这种比较权威的机构对云安全的概念也很模糊。
卿斯汉说:“云计算比较虚。在解决云安全问题时,第一传统安全措施要跟上,但不是像有些信息安全公司把现有产品放上去,这就太过于简单了。原来那些产品在云计算的特定环境下,应该怎么放,还有针对云计算的新威胁,要做好风险评估,然后做好安全模型和安全架构。从顶层设计来考虑,这么做一般来说不是特别容易做。在目前的云计算环境下,虚拟化方面多做工作。其他方面都要有一些措施,包括防火墙等和手机监控等。这些产品在云上怎么用?怎么样很好地把这些产品集成到云安全框架内,这需要部署云计算的企业进一步考虑。根据云的特定商业模式下新的体系也要马上研究,如何是虚拟化的安全如何做到真正的领域。某些在虚拟化的过程中,它的虚拟机之间存储有些是需要隔离,怎么隔离,关键设备跟虚拟机如何保护。”