【51CTO.com 獨家特稿】2011年隨著全球經濟形式好轉，IT產業也將全面復蘇，云計算有了全新的發展契機。越來越多的企業開始加速邁向云計算。Gartner預計，以云計算方式提供的安全應用服務，在2013年將會增長三倍。

不可否認，云計算將是未來IT發展的方向和趨勢，其安全問題也成為業內爭論最多的話題之一。各大安全公司對此也極力宣傳自身優勢，而各大云計算服務和平臺提供商對此問題表現出極大地興趣。即便如此，安全災難也時有發生。

今年4月，索尼旗下Playstation網站遭遇黑客入侵，黑客侵入索尼公司位于美國圣迭戈市的數據服務器，竊取了索尼PS3和音樂、動畫云服務網絡Qriocity用戶登錄的個人信息，包括姓名、住址、生日、登錄名和密碼等，受影響用戶多達7700萬人，涉及57個國家和地區。同時，索尼旗下另一組負責計算機在線游戲服務的索尼網絡娛樂 (Sony Online Entertainment)也傳遭到入侵，可能將有高達2460萬筆用戶數據也遭外泄。

索尼事件并不是歷史上最嚴重的。2009年，Heartland支付系統公司的1億3000萬用戶數據被泄漏；2007年，零售商TJX公司的9400萬用戶數據被泄漏，這些事件在當時都引起了業界的震動。而索尼事件的出現，則再次引發了云計算的安全大討論。

可以說，云計算改變了服務方式，但并沒有顛覆傳統的安全模式。所不同的是，在云計算時代，安全設備和安全措施的部署位置有所不同；安全責任的主體發生了變化。原來，用戶自己要保證服務的安全性，現在由云計算服務提供商來保證服務提供的安全性。

前不久，51CTO記者就目前的安全威脅趨勢及云計算安全等問題，與EMC信息安全事業部RSA首席技術官 Bret Hartman先生進行了深入探討。

[[31035]]

RSA首席技術官 Bret Hartman

對于索尼事件，Bret表示他并未了解事實真相，只是通過網上了解了一些情況而已，但可以肯定的是索尼事件本身是由于內部漏洞造成的。同時，Bret還強調針對個人消費者提供的云服務，其安全性目前來看，并非想象中那么強壯，事實上，很多云服務都是針對企業環境提供的，其安全措施已經非常全面，但即便在非常強的安全環境中，攻擊者也會找到漏洞來攻擊。Bret坦言，對于所有的云服務提供商來說，還有很長的路要走。

今年早些時候，記者在美國RSA大會上，曾獨家采訪過Bret先生。當時他曾對記者說，云計算概念誕生之初，人們還只是關注云計算是什么，云服務是怎么回事；過去幾年，我們看到，大家關注的重點逐漸轉移到云計算的安全問題上。而今天，很多人都會問一個問題：我們可以信任云么？

顯然，“我們憑什么信任云計算和云服務？”這個問題儼然成為時下的焦點。對此，Bret相信，讓大家信任云計算及服務是未來發展的一個方向。他所指的這個方向是安全技術在云計算環境中的應用。目前，包括RSA在內的很多專業安全廠商正在為此做出努力。

在談到保護云計算環境的安全技術時，按保護目標的不同，Bret將云計算安全技術分為三大領域：身份的保護、基礎設施的保護和信息數據的保護。不過這幾類安全技術也面臨很多挑戰。

對于身份安全來說，用戶需要的是強認證機制，這種強認證機制要考慮一般的ID和密碼保護，這樣我們才能有充分的信心，確保得到授權的用戶訪問某一應用或系統。但Bret認為，在云環境中，我們面臨著一個挑戰：在云環境里面沒有關于身份認證的定義。換句話說，從一個云服務轉移到另一個云服務的時候，我們怎么證明用戶的身份是合法的，訪問的云服務是權限范圍內的？顯然，在云環境中我們需要聯合身份認證技術，才能實現云服務和云應用的安全遷移。Bret強調，不得不承認，云計算環境中的身份認證是一件困難的事情。

第二個領域是保護基礎架構的安全技術?；A架構包括一些硬件和網絡設施、操作系統、應用環境。對基礎架構安全來說，要確?；A架構的安全有非常大的挑戰，在虛擬機從一個云環境進入另一個云環境的時候，如何保證虛擬機不受攻擊，也是非常大的挑戰。在基礎架構安全方面還有一點非常重要，就是需要非常強的可信鏈條，這個可信鏈條包括硬件上要安全，還有英特網，還有操作系統，還有整個虛擬化，所有的鏈條里面都要打造非常強的可信性。

第三領域是保護數據和信息的安全。這方面技術也面臨很多挑戰，要確保用戶訪問云環境的時候，一方面確保數據的保密性，也就是誰能夠閱讀這些數據；另一方面要保證云環境中的數據完整性，也就是這些數據在訪問的時候，不應該被任何人隨意篡改。在這個領域中的技術主要包括分布式的密鑰管理技術，還有密鑰的加密技術，還有DLP技術。云服務提供商需要確保整個數據在云環境中傳輸的時候，內容不會丟失。

Bret向記者透露，RSA準備在2011年第三季度時向市場推出基于云計算環境的身份認證服務。

事實上，索尼事件只是一個開始，未來云服務提供商將面臨更加殘酷的攻擊和競爭。公共云服務提供商是否能有完善的安全防護，在云計算環境中是否能提前檢測到安全威脅，將決定像索尼這樣的云服務提供商，在未來商業競爭中能否得到信任的重要判斷依據。

坦白的講，云計算環境是否能夠信任，還要靠實踐檢驗。而目前很多事件則恰巧反映出云計算環境中存在不容忽視的安全問題，正是這些問題的出現，才使人們質疑云計算，才讓云計算的誠信問題成為業內的焦點。但我們也應該看到，正如Bret所言，云計算是未來發展的方向，云計算給人們帶來的便利遠大于其安全問題所帶來的損失，我們不能由于各類云計算安全問題就望云興嘆。畢竟，很多專業的安全廠商都在努力地讓云計算更加可信，期待云計算改變人類文明及生活的那一天，對此我們應該抱有信心。

【編輯推薦】

1. 全面解析云計算安全問題
2. Bret Hartman在RSA大會上的視頻訪問
3. PSN網絡被黑將給索尼造成1.7億美元損失