2011年05月31日 09:47分 作者：

【CNW.com.cn獨(dú)家譯稿】HyperStratus咨詢公司首席執(zhí)行官伯納德·戈?duì)柕?Bernard Golden)撰文指出，一個(gè)接一個(gè)的調(diào)查表明，對(duì)于公共云計(jì)算，安全是潛在用戶最擔(dān)心的問(wèn)題。例如，2010年4月的一項(xiàng)調(diào)查指出，45%的以上的受訪者感到云計(jì)算的風(fēng)險(xiǎn)超過(guò)了收益。CA和Ponemon Institute進(jìn)行的一項(xiàng)調(diào)查也發(fā)現(xiàn)了類似的擔(dān)心。但是，他們還發(fā)現(xiàn)，盡管有這些擔(dān)心，云應(yīng)用還是在部署著。類似的調(diào)查和結(jié)果的繼續(xù)發(fā)布表明人們對(duì)安全的不信任繼續(xù)存在。

當(dāng)然，大多數(shù)對(duì)云計(jì)算的擔(dān)心與公共云計(jì)算有關(guān)。全球IT從業(yè)者不斷地對(duì)使用一個(gè)公共云服務(wù)提供商提出同樣的問(wèn)題。例如，戈?duì)柕潜拘瞧谌チ伺_(tái)灣并且在臺(tái)灣云SIG會(huì)議上發(fā)表了演講。有250人參加了這個(gè)會(huì)議。正如預(yù)料的那樣，人們向他提出的第一個(gè)問(wèn)題是“公共云計(jì)算足夠安全嗎，我是否應(yīng)該使用私有云以避免任何安全問(wèn)題”所有地方的人們似乎都認(rèn)為公共云服務(wù)提供商是不可信賴的。

然而，把云安全的討論歸結(jié)為“公共云不安全，私有云安全”的公式似乎過(guò)于簡(jiǎn)單化。簡(jiǎn)單地說(shuō)，這個(gè)觀點(diǎn)存在兩個(gè)大謊言(或者說(shuō)是兩個(gè)基本的誤會(huì))。主要原因是這種新的計(jì)算模式迫使安全產(chǎn)品和做法發(fā)生的巨大變化。

第一個(gè)云安全謊言

第一個(gè)謊言是私有云是安全的，這個(gè)結(jié)論的依據(jù)僅僅是私有云的定義：私有云是在企業(yè)自己的數(shù)據(jù)中心邊界范圍內(nèi)部署的。這個(gè)誤解產(chǎn)生于這樣一個(gè)事實(shí)：云計(jì)算包含與傳統(tǒng)的計(jì)算不同的兩個(gè)關(guān)鍵區(qū)別：虛擬化和活力。

第一個(gè)1區(qū)別是，云計(jì)算的技術(shù)基礎(chǔ)是在一個(gè)應(yīng)用的管理程序的基礎(chǔ)上的。管理程序能夠把計(jì)算(及其相關(guān)的安全威脅)與傳統(tǒng)的安全工具隔離開(kāi)，檢查網(wǎng)絡(luò)通訊中不適當(dāng)?shù)幕蛘邜阂獾臄?shù)據(jù)包。由于在同一臺(tái)服務(wù)器中的虛擬機(jī)能夠完全通過(guò)管理程序中的通訊進(jìn)行溝通，數(shù)據(jù)包能夠從一個(gè)虛擬機(jī)發(fā)送到另一個(gè)虛擬機(jī)，不必經(jīng)過(guò)物理網(wǎng)絡(luò)。一般安裝的安全設(shè)備在物理網(wǎng)絡(luò)檢查通訊流量。

至關(guān)重要的是，這意味著如果一個(gè)虛擬機(jī)被攻破，它能夠把危險(xiǎn)的通訊發(fā)送到另一個(gè)虛擬機(jī)，機(jī)構(gòu)的防護(hù)措施甚至都不會(huì)察覺(jué)。換句話說(shuō)，一個(gè)不安全的應(yīng)用程序能夠造成對(duì)其它虛擬機(jī)的攻擊，機(jī)構(gòu)的安全措施對(duì)此無(wú)能為力。僅僅因?yàn)橐粋€(gè)機(jī)構(gòu)的應(yīng)用程序位于私有云并不能保護(hù)這個(gè)應(yīng)用程序不會(huì)出現(xiàn)安全問(wèn)題。

當(dāng)然，人們也許會(huì)指出，這個(gè)問(wèn)題是與虛擬化一起出現(xiàn)的，沒(méi)有涉及到云計(jì)算的任何方面。這個(gè)觀察是正確的。云計(jì)算代表了虛擬化與自動(dòng)化的結(jié)合。它是私有云出現(xiàn)的另一個(gè)安全缺陷的第二個(gè)因素。

云計(jì)算應(yīng)用程序得益于自動(dòng)化以實(shí)現(xiàn)靈活性和彈性，能夠通過(guò)迅速遷移虛擬機(jī)和啟動(dòng)額外的虛擬機(jī)管理變化的工作量方式對(duì)不斷變化的應(yīng)用狀況做出回應(yīng)。這意味著新的實(shí)例在幾分鐘之內(nèi)就可以上線，不用任何人工干預(yù)。這意味著任何必要的軟件安裝或者配置也必須實(shí)現(xiàn)自動(dòng)化。這樣，當(dāng)新的實(shí)例加入現(xiàn)有的應(yīng)用程序池的時(shí)候，它能夠立即作為一個(gè)資源使用。

同樣，它還意味著任何需要的安全軟件必須自動(dòng)化地安裝和配置，不需要人的干預(yù)。遺憾的是，許多機(jī)構(gòu)依靠安全人員或者系統(tǒng)管理員人工安裝和配置必要的安全組件，通常作為這臺(tái)機(jī)器的其它軟件組件安裝和配置完畢之后的第二個(gè)步驟。

換句話說(shuō)，許多機(jī)構(gòu)在安全做法與云要求的現(xiàn)實(shí)方面是不匹配的。估計(jì)私有云本身是安全的這個(gè)觀點(diǎn)是不正確的。在你的安全和基礎(chǔ)設(shè)施做法與自動(dòng)化的實(shí)例一致之前，你會(huì)有安全漏洞。

而且，使它們一致是非常重要的。否則，你可能出現(xiàn)這種情況：你的應(yīng)用程序自動(dòng)化超過(guò)了你的安全做法的應(yīng)對(duì)能力。這不是一個(gè)好現(xiàn)象。毫無(wú)疑問(wèn)，人們不喜歡解釋為什么好像安全的私有云最終還是有安全漏洞，因?yàn)樵朴?jì)算的自動(dòng)化特征還沒(méi)有擴(kuò)展到軟件基礎(chǔ)設(shè)施的所有方面。

因此，關(guān)于云計(jì)算的第一個(gè)大謊言的結(jié)果是私有云本身就是不安全的。