当下你在互联网上浏览网页时,可能会看到这样的标题——“云计算陷阱”或“云计算将威胁您的健康数据”。你不觉得这些标题看起来像一些FUD*者(在用户的头脑中注入疑惑与惧怕,即制造恐慌)惯用的伎俩吗,以安全为由来回避信息技术发展所带来的变革。
“安全”虽然是云计算中一个十分重要的问题,但它不能成为由来阻碍云计算发展脚步的理由。就在此时此刻,世界上正有数以千记的技术研发人员致力于云计算技术的完善工作之中,以实现确保云计算技术可以在商业领域中以最安全的方式运行的目标。
行动比一味的恐慌强
现在应该是我们接纳云计算应用到商业领域的时候。
在此情况下,我们急需讨论的并且马上需要着手解决的问题是,如何让云计算运行更加稳定可靠;云存储中的数据更为安全;云计算运营商的服务更加具备专业水准。这些需求无疑让我们更加关注云计算在安全方面如何进一步完善,而不是一味地制造对云计算技术的恐怖气氛。有一点已经让我们看得十分清楚——以安全为由在云计算方面制造恐慌,无论这一行为是有意为之还是无疑为之,都毫无意义。
可是有一个问题值得我们关注:无论是企业还是个人在享受云计算服务带来的便利时,提供云计算服务的组织应该对这些企业或者是个人给予更多的安全支持与指导。然而就目前状况看,我们不得不承认这样一个事实——云计算领域缺乏具有丰富经验的信息安全专家。现在多数网络安全工程技术人员仅是初步了解云计算,既没有认识到云计算所具备的好处跟对云计算存在的风险一无所知,就如同虚拟化刚刚实施的时候一样。
毋庸讳言,对于信息安全专业人士而言,加倍努力提升在云计算安全方面的应对能力要比制造自我恐慌强得多。我想再次强调:现在是时候了!
作为信息安全领域的专业人士,我们应该克服困难行动起来。这里所谓的“困难”只不过是云计算实施后在使用习惯上以及某些IT技术方面产生的变革,需要我们学习和适应而已;而所谓的“行动”则是需要我们针对自身的实际情况制定云计算实施后在安全方面的一系列应对措施,以此从容应对云计算所带来的挑战。
在安全上,未雨绸缪永远比救火队来得重要。这不禁让我想起了曾经看到过的一篇博客:博客的作者亲历了一次实验——在两个楼宇之间利用法拉第笼测试无线设备安全性,这个实验仅仅进行了15分钟就结束了。测试结果让众人失望,因为被测试的无线安全方案造价为6百万美元,这个安全方案却只坚持了15分钟就被攻破。更发人深省的是安全解决方案在设计上比较完善并没有出现什么纰漏,是无线设备点到点传输底层协议上出问题。究其原因,原来这个协议在安全方面在研发之初就在安全性方面没有做太多的考虑。
由此可见,再好的安全方案若技术底层有漏洞也只能是一种徒劳的补充,其效果如何恐怕谁都说不清楚。同样在云计算方面,我们现在需要的是在其底层基础之上就开始构建起牢固的安全防御体系。这些工作无疑需要各个相关领域的工程技术人员的共同努力。
“危机与机遇”总是伴生的
一项新技术的兴起无疑会给我们这些工程技术人员带来诸多的困惑,而且还让我们不得不面对无处逃避;与此同时,新技术的到来也为我们提供了新的机会。云计算时代的来临同样如此。云计算在短期内会让我们茫然,让我们无所适从,但我们为了应对变革带来的挑战,不得不更加深入的了解并掌握这项技术为我所用,并对企业采用云计算技术之后可能存在的安全风险有了更为清晰的认识,寻找最佳的应对策略。
我们应该看到云计算作用于我们身上,完全是一个硬币的两个面——
它无疑给你带来诸多便利,让你感到高兴,比如你借助亚马逊网络服务(AWS)或者是S3对你的目标对象进行自动的MD5加密;或者使用借助云计算技术的强大能力对计算机图片进行收集鉴赏。
又有些事情却让你不胜其烦:作为个体我们担心个人隐私泄露问题、行为的合法性问题;作为享受服务的企业同样面临诸多问题,如电子邮件安全、数据库的安全,与产业链上下游企业协同问题;企业未来数据的安全、商业机密的保护、核心数据的存取,以及有效性问题。
截止到现在,从云技术安全这个角度阐述自己观点的要少于描述云计算蓝图的,在安全上具有实际应用价值的更是少之又少。不过我们也不用为这个问题所担心,完全可以换种角度看看待这个问题——这恰恰说明了云计算安全问题的最佳解决方法并非是坐而论道,“实践出真知”才是硬道理。
这预示着这些工程师不得不面对失败,温习自己所学;分清工作任务与法律责任,以及帮助企业做出更为明智的抉择。他们还要进一步了解企业内部更多的需求,以便于将内部的信息数据有本地网络向云计算转移。
有许多伟大的信息技术在我们这个时代产生了,云计算技术就是其中之一。已经有很多公司,如趋势科技、IBM、谷歌、亚马逊、微软、Oracle等开始借助这一伟大技术进一步提升企业自身的竞争实力,以图谋更多的市场份额,获取更多的商业机会。
虽然这不是“必然”,可是已经有一些公司将部分业务有内部局域网络转移到“云”之上。现在作为安全工程师的你,假若遇到类似的机会,最好的选择就是在这一转移过程之中获取更多的经验,吸取更多的教训,从而提升自身的能力。
译者注:
1、FUD,即 Fear, Uncertainty, Doubt,英文意思为惧、惑、疑。最早出自 Gene Amdahl 之口,Gene Amdahl 原为 IBM 工程师,之後离开 IBM 自行创立 Amdahl Corporation,成为 IBM 竞争对手,FUD 最早意指 IBM 销售人员对客户灌输关於 Amdahl 和其他竞争公司产品的负面观念,也就是在顾客的头脑中注入疑惑与惧怕,然后,你说什么他们就可能信什么。这种行销手法现在经常用于电脑业界,特别是微软常向客户宣称 Linux 与其他开放原始码的软体对客户有弊无利。
FUD现时已在电脑界以外,特别是政界的一个常用技巧。例如:政治上的竞争对手可以利用在某一题目上利用FUD来牵引舆论,从而为自己制造有利条件,或把对方推入困境内。另一方面,对手亦会指另一方意图利用FUD来混淆视听,从而获取渔利。
2、法拉第笼是一种用于演示等电位、静电屏蔽和高压带电作业原理的设备。它是由笼体、高压电源、显示器和控制部分组成,笼体与大地连通。当带有10万伏高压的放电杆尖端接近笼体时,出现放电火花,这时笼体内的表演者即使用手触摸笼壁接近放电火花也不会触电,相反还会体验到电子风的奇妙感觉。