RSA CTO解析云计算安全的未来之路

　　2009年12月8日，RSA首席技术官Bret Hartman先生来到中国，ZDNet记者对其进行了专访。Bret Hartman先生和我们分享了RSA关于云计算安全领域的现状以及发展趋势。Bret认为，云计算将会面临更多的安全威胁，企业应该投入更多的精力来确保云的安全;动态口令技术将逐步成为主流。

　　云计算的安全危机

　　在谈到云计算安全性问题时，Bret Hartman先生强调，云计算环境中的安全危险目前已非常严峻了，而且我觉得今后安全威胁会变得越来越严峻。因为，在云计算开放环境中攻击越来越多，而且在开放环境中很多计算资源今后都会面临更多的风险。

EMC信息安全事业部RSA的首席技术官 Bret Hartman先生

　　Bret表示，RSA现在跟VMware之间进行了非常紧密的合作，尤其是在为VMware的“V-cloud”战略执行方面提供了紧密的支持，因为RSA的安全技术应该能够在今后云计算环境中帮助我们的客户迎接他们所面临的挑战。RSA可以满足云计算服务提供商在云计算环境中的三方面的安全需求，第一层面可以向云资源服务提供商提供保护，保护他们免受外来攻击，比如网络犯罪、网络攻击给他们带来的威胁。第二层面可以满足云计算环境种不同租户之间数据孤立性。我们知道在一个云环境中可能有两个以上用户(租户)之间的数据不会互相干扰，而且一个用户在未授权的情况下，不能访问另外一个用户的数据。第三层面确保云服务提供商自身平台安全，比如访问控制、身份认证等基础性的要求，我们可以保证向其他用户提供云服务的服务商自身平台的安全性。只有满足这三方面的需求，企业才能非常放心地将他们的应用转移到云平台上，从而实现合规的目的。

　　在回答记者关于企业迁徙到云端的疑虑的问题时，Bret说，其实实企业的担忧都是非常有道理的，现在谁也无法说，所有云计算环境都是百分之百安全。云计算的安全是RSA非常重视的领域。其中一些安全措施已经存在了，而且RSA也广为部署，比如一些反欺诈的措施。其中还有一些技术是RSA需要进一步提供技术进行开发的，比如虚拟平台上部署的安全技术。所以，RSA今天面临着一个非常重要的目标，能够给企业用户提供正确的指导原则，正确的路线图，让企业在今天的环境中逐渐迁移到云环境中。

　　动态认证将成为主流

　　此前我们得到一条报告，称一家瑞士公司Valorec服务公司增加了三倍数量的RSA SecurID按需认证令牌，通过安全的远程接入，确保业务连续性。这家公司以前装备的RSA SecurID主要是包括管理高层在内的少数人员。它决定增加部署RSA SecurID，是为了提前防备甲流大流行的情况，需要随时随地远程接入办公可能性大大增加。

EMC信息安全事业部RSA的首席技术官 Bret Hartman先生

　　我们非常好奇一款技术产品是如何来帮助企业预防甲流的，在专访中，Bret Hartman先生解答了我们的疑惑。

　　Bret表示，正常情况下，员工在办公室正常办公的时候，可能不太需要动态口令的支持。但在紧急情况下，像流感或者流行病爆发时员工不得不在家里工作，在家里工作时我们也要确保员工的工作效率和在办公室时一样。而RSA身份认证管理服务器可以给在加班工的员工提供实时动态密码，以便员工在家里访问他们的资源。

　　在说到动态口令的发展趋势时，Bret认为，目前有一个非常重要的安全措施方面的转变，就是从静态安全机制转移到动态安全机制。其实在这个主题上会出现很多不同的变化趋势，但纵观09年这些安全趋势的部署越来越强大，安全措施的效用也越来越强大，正是因为RSA现在转移到动态安全机制中，在动态的安全机制环境下，安全措施会变得越来越强大。其中一个技术就是数据中心的身份验证，这种验证主要是基于用户行为，通过用户行为来分析它的身份是否合法，即Adaptive Authentication“自适应认证”。这种自适应认证可以解决中间人攻击威胁，而这样的威胁采用传统用户ID、密码方式无法解决。另外一种动态安全技术是基于内容的安全技术。像我们的数据丢失防护这样的产品和技术，主要是看这些数据的内容是怎样的，根据内容来看这些数据是否是敏感性的。而在这样动态安全机制下，Data Loss Provention (数据丢失防护) 可以动态地预防信用卡数据受到攻击，不同于以往静态的方式。