2011年11月3日由EMC信息安全事业部RSA主办、中国电子学会联合承办的RSA Conference 2011信息安全国际论坛继续在北京中国大饭店举行。VMware大中华区技术总监张振伦表示,云计算的安全策略与合规性离不开对云计算发展的信心,还要从应用的流程,开发的框架的流程和终端与虚拟化的流程等多角度进行考量。
敢上云计算需要信心
张振伦表示,“由于法律法规不健全,企业不敢上云计算,我们应该去帮助政府,帮助制订法律法规的部门,告诉他们问题在什么地方,然后实践才可以出真知。这也是为什么“十二五”把云计算写到战略新兴技术里,也是为什么国家注资十五个亿在企业里支撑云计算向前迈进,如果没有走的过程,就永远没有法律法规,所以很多时候是信心问题,而不是简单走到那一步的问题。”
流程确保云成功
他指出,“从技术角度,要实现一个安全与合规的环境,一定要把过程定义好,流程可确保整个云之路的成功,实际云的成功,不仅仅是资源池怎么构建,安全绝对是必不可少的重要的组件,只有把这个组件定义好,才能够构建出真正的云,从私有云到公有云,再到混合云,每一个阶段都离不开安全和合规。”
他接着提到,“整个云计算的目标不是说一定要把数据中心搬到公有云,或一夜之间变成私有云,企业要明白这是一个旅程。根据我们的经验,看到整个行业的进展状况,可能有很多用户要花六七年,至少三五年来走完,如果没有这样的旅程可能很多地方会考虑不周全,会出现问题,当然也包括安全和合规等方面的问题。因此,大家要有耐心走好这个旅程。
云计算的技术架构,平台,终端计算,每个层次都不能忘了安全,每个层面都有安全,包括管理也需要安全,安全不是支离破碎,不是某一个环节把安全考虑好了就一劳永逸的。所以从各个层面看现有架构走到安全体系的阶段,包括传统组件,基础架构,技术应用,开发,其实都是跟传统一样的,当然要考虑他们的安全。比如,新的应用方式出现的时候实际上都是对安全的巨大挑战,不能很好的处理将带来灾难性的后果。
从应用角度。张振伦举例道,“比如应用软件,老的应用,现在的应用,将来的新应用。老的应用要有很好的技术确保这些投资,新的应用要确保跟云兼容,可以把新的安全理念,植入到新的应用当中,新的应用开发的时候,就可以考虑安全。因为老的应用可能没有云时代的思维嵌入进去,也就不能把老代码拿出来翻新。那么就会有各种各样的挑战,比如考量应用软件是不是适合云,数据应该放在什么地方? ”
他指出,“数据放在云端的时候会带来什么样的挑战?放在本地会带来什么样的结果?这些都是做私有云,公有云应该认真考虑的。任何一个层面都会走到云端,比如数据角度,要评估中间的风险和合规性,因为放在自己的数据中心可能还没有合规性的问题,或者说没有隐私泄露的问题,但一旦放到公有云,这些问题就变得完全不一样。当然你放在私有云的时候,可能大家的共享也不是很方便,但今天你放在同一个资源池,就再也不是烟囱式的应用方式,这些数据之间如何有效的保护。这些都是新的应用,老的应用走向云端必须要考虑的问题,考虑好了才可以确保云的安全。”
从技术架构角度。张振伦指出,“基础架构的服务器,网络,存储等资源走到云计算的时候,很多跟安全相关。当然也涉及到存储怎么定义,重新构建的流程如何。数据安全合规怎么样考量,目前的安全战略是什么?这些战略移到云的时候会带来什么样的挑战?传统的资源硬件上运行某一个应用是固定的,今天应用在硬件资源之上可以动态迁移的,这个动态迁移就带来很多挑战,如何跟现有的安全合规结合在一起,来确保中间的可靠性和稳定性。一旦走到虚拟,会有虚拟存储如何分级,然后到底用哪种类型的存储,这些存储是本地还是异地,安全如何掌控,CPU内存从传统固定模式变成动态可以调整的时候,跟上面的应用之间如何绑定等等,这些都是在安全与合规的时候必须考虑的问题,都需要一定的流程确保。”
从框架开发角度。张振伦表示,“如何确保开发新应用的框架是安全和合规的。现在企业开始慢慢应用新型的开发框架,包括数据库如何拿到云端,要考虑框架的可扩展,安全和合规是怎么考虑?等到规模扩大的时候,用户怎么样也可以确保安全和合规,都是需要开发的时候就考虑的问题,而这些最好是在平台层解决,而不应该是每个开发者都考虑这个问题,那将会大幅度降低开发效率。”
从终端与虚拟化角度。张振伦指出,“终端设备怎么做病毒扫描,怎么做入侵检测?怎么做数据防流失?有很多企业甚至把U盘端口封掉,把网络控制等。传统做法都是基于每个人的应用,但今天进入云端,前提就是要把这中间的紧耦合变成松耦合模式,把应用软件扔到云端,把终端扔到云端,比如云终端,瘦客户机,将来需要是像手机一样,插上一个SIM卡,就可以应用所有后台安全可靠的应用数据,这是将来很好的场景。在这样的场景下,考虑安全,考虑策略的时候,会发生很大的变化。因为要适应新形势的发展,需要安全在各个层面做好充分的准备。在虚拟世界里病毒扫描应该怎么做?这些都是很重要的关键组成部分。 ”
他强调,“从虚拟角度来说,虚拟化也给我们带来很多挑战,物理就是一对一硬性的绑定,一个物理硬件所有数据都在上面。但是走到虚拟化,数据是在漂移,应用是在漂移,这就意味着下层和上层真正实现了分离,分离就意味着传统的东西都不可以应用,这些都给我们带来新的挑战。”