RSA 2009焦点：云安全与SaaS

　　纵观此次RSA 2009 Conference，云计算(Cloud Computing)与SaaS无疑是一个热点问题。你会感觉有无数的论坛与专家在关注云计算与SaaS的安全问题。不论从Keynote主题演讲中的钱伯斯、著名密码专家Whitfield Diffie、Ronald Rivest，Qualys的CEO Philippe Courtot，以及各个领域的安全专家都在讨论云计算、云安全、SaaS方面的问题。我们正在思考，但还没有明确答案的各种问题，也在各个会场被激烈讨论着。云与SaaS本已是热点，再加上安全，你能够理清思路吗?云计算、安全的云计算、云安全、Software as a Service、Security as a Service、Security as a (Cloud) Service…

　　焦点1：云的安全

　　钱伯斯在RSA Conference第二天的主题演讲中，提到云计算时语出惊人：“对于安全，云计算是一场噩梦”。注意，他并不是对云计算有何异议，因为老钱同志也认为云计算是不可避免的趋势，而且云计算的发展肯定对Cisco的发展有着巨大的意义。但是由于云计算所引发的新的安全问题，则又是很难预测的。这些问题甚至会动摇我们已经形成的网络安全的体系方法。“它是网络安全的噩梦，而且无法采用传统的方法来解决”。

　　无独有偶，在几位著名的密码专家论坛上，云计算也成为了话题。虽然专家们有的对云计算的前景非常的看到，但云计算产生了与以往不同的新安全问题也是共识。而这些安全问题，是我们无法回避且必须付出很大的努力来解决的。当然对解决云计算安全问题持悲观态度的人也在少数。

　　焦点2：SaaS的安全

　　另一个方面，SaaS也是热点议题。对于SaaS这种模式，安全问题存在与它的各个层次：基础设施、平台、上层应用。对于三个层次，所面临的安全问题是不同的。比如对于IaaS(Infrastructure as a service)，数据中心建设、物理安全、网络安全、传输安全、系统安全是主要的关注点。而对于PaaS(Platform as a Service)，数据安全、数据与计算可用性、灾倍与恢复问题则更受关注。而到了最高层的SaaS(Software as a Service),则对于数据与应用的安全问题更为关注。而且，当SaaS架构在云计算这个平台上时，最高层的这些安全问题很多是不可知，不可控的。原因在于，使用者再也无法自己实际掌握对安全便捷与数据的控制权。

　　观点：绿盟对云安全的认识

　　从我们的角度看来，云只不过是另一种数据中心，数量更多且分散的数据中心的集合，使得访问与使用更加的快速、便捷。再加上云端的SaaS应用，能够为众多企业，尤其是中小企业，带来更便捷、成本更低的、无所不在的IT服务。但同时，云计算与SaaS也带来了新的安全问题，与以往我们经验中不同的安全问题。因为在云中，没有边界，云计算与SaaS的使用者自己再也无法控制边界，控制数据，甚至都不确切的知道数据在什么位置上。而服务提供者往往还要同时面对IaaS, PaaS, SaaS三个层次的安全问题。

　　从云的外部，用户看不到云里面是什么样子的，也就是说云是不透明的。服务提供商承诺了会提供各种层次的安全方案，从网络层到应用层，数据保护，以及可管理的安全服务。但是作为云外的用户，你真的知道这些安全特性被提供了吗?或者说，这些安全措施的结果，是你所期待，且满意的吗?这可能也是很多企业对云计算望而却步的原因，也是众多安全专家的争论所在。不过换个角度，对于很多本来就没有能力进行安全体系建设与维护的用户来说，看不清云的内部也不见得是件坏事。

　　随之而来的问题：云计算如何进行审计与监管?现实中的各种信息安全问题在云端依然存在，只不过之前是用户自己能看到的，而现在反而距离用户更远了，也更为离散。如果像钱伯斯说云计算可能是无法避免的趋势，当然这还要最终的用户能够认可。那么我们真的需要更多的工作，来接受这种新模式并克服它所带来的新安全问题。

　　未完的故事

　　其实涉及这方面的待解问题还有很多，比如在IaaS中，虚拟化(Virtualization) 技术被更多的应用，物理边界变成了逻辑边界，对于安全的思考也会变化。再者，除了讨论安全的云，我们也能够同时利用云计算的方式，来促进安全的发展，将安全也作为一种云计算服务。新的事物总是能够带来新的挑战，迎接这种挑战，正是我们不断前进的动力。当这些问题正在被激烈的讨论时，你，准备好了吗?