RSA2010:厂商专家联手应对云计算安全挑战

　　随着云计算应用的增长，托管提供商将与安全厂商签署协议向用户提供“security-as-a-service”(安全即服务)的选择。但是，企业IT经理会把这种新颖的安全方式结合到云计算环境中吗?

　　肯定会有一些抵制，因为IT和安全经理都在努力解决风险因素和法规遵从的问题。

　　安全研究公司TheInfoPro的总经理Bill Trussell说，相当多的机构正在使用他们认为是云计算服务的东西。这家研究公司刚刚发表了其半年度的对北美大型企业和中型企业的信息安全专业人员进行的调查。但是，当TheInfoPro询问受访者他们是否在云计算环境中使用基于云计算的安全服务的问题时，不到15%的受访者表示很可能使用这种服务。

　　Trussell说，当问到机构是否会向云计算提供商扩展用户接入与配置或者双因素身份识别等功能的问题时，受访者表示这起情况并不太常见。企业安全人员对于那些基本上不太熟悉的东西、不在他们的现场的东西、不在他们直接控制之下的东西、甚至在他们使用的云计算提供商直接控制下的东西仍然感到很紧张，因为安全服务是由拥有安全技术专长的第三方厂商控制的。

　　不过，这些新的安全即服务计划将很快应用到云计算。

　　例如，提供基于云计算的按使用收费的商务智能服务(包括为与Salesforce.com有关的数据提供分析服务)的PivotLink与Novell合作测试Novell的云计算安全服务。这项服务包括根据在GoGrid托管的软件实施的各种身份管理功能。

　　PivotLink负责开发的高级副总裁Bob Kemper说，我们从Novell的服务中得到我们的身份识别。Novell的服务插入到客户的服务中。目前，我们使用身份识别管理和他们的授权来管理这个安全水平。Novell与必要的企业系统集成在一起用于访问信息。

　　PivotLink的客户(其中许多是企业的零售经理，包括REI)要利用Novell的云计算安全服务不必在自己的现场使用Novell的软件。

　　Kemper说，如果他们在使用LDAP(轻量级目录访问协议)或者活动目标基础设施，它就会起作用。基于云计算的服务利用基于SAML(安全断言标记语言)的授权。这个正在与Novell进行测试的计划允许一个用户自动解除一个将要离开的存储管理员的配置，并且增加一个新的经理，使用PivotLink服务按照同样的角色自动授权。

　　Kemper说，我们的客户说，我们需要这个水平的控制和管理以及某些形式的审计。他补充说，客户说他们对于把敏感数据上载到云计算感到更舒服。

　　PivotLink希望能够在今年夏季之前公开提供基于Novell的云计算安全服务，把这个服务作为自己产品组合的一部分。Kemper说，推出这些种类的安全控制的最佳方法是与Novell这样的合作伙伴合作提供一种服务模式。Novell也维护自己的云计算。

　　Novell云计算安全业务部门总经理Dipto Chakravarty说，Novell正在与许多SaaS(软件即服务)和托管提供商联系，以评估他们在基于云计算的安全方面与Novell合作的兴趣。

　　Chakravarty说，我们的考虑是Novell必须中立地支持技术协议，支持SAML 1.1、SAML2、WS-Fed、InfoCard和OpenID以及在企业方面的Shibboleth。这个Novell云计算安全服务是一个真正的多租户托管的安全解决方案。它可以在SaaS的托管提供商那里托管，或者由Novell的一个合作伙伴托管。

　　Novell并不是唯一的渴望得到基于云计算的安全服务角色的公司。

　　包括StillSecure和Alert Logic在内的其它安全公司将提供入侵探测/防御(IDP/IDS)服务，在云计算服务提供商那里代表客户保护基于虚拟机的服务器。

　　为医院和健康医疗机构提供病历管理的Automated Document Solutions (ADS)公司的IT经理Mike Crews说，该公司利用Host.net作为某些目的的云计算提供商。当Host.net几个月前开始与StillSecure合作提供IDS/IPS服务的时候，ADS用户得到了这种24小时不间断监视的好处。

　　Crews说，这项服务是在Host.net那里得到这种类型的监视的极好机会。ADS很难依靠自己的力量建立这种监视能力。到目前为止，与StillSecure一起提供的这个安全服务一直工作得很好。StillSecure拥有自己的网络运营中心，监视在Host.net网络上的ADS虚拟机上正在运行的东西。StillSecure说，这项服务的费用是保证10个虚拟机的安全每月250美元。对于ADS来说是可以承受的。

　　位于休士顿的另一家云计算基础设施提供商iland的首席技术官Justin Giardina说，iland在自己的数据中心通过安全公司Alert Logic提供IDS/IPS监视服务已经有一年多时间了。

　　每个公司除了作为云计算客户通常都可以得到的按虚拟局域网分段和受防火墙保护的基于VMware的虚拟机配置外，还可以选择由安全公司Alert Logic从这家安全公司自己的网络运营中心监视这些虚拟机。

　　Alert Logic的监视利用基于主机的软件。这些软件代表客户在管理程序层次上运行。Alert Logic IDS/IPS服务可以配置成自动隔离一个网段。例如，如果检测到问题，这项服务便启动在思科ASA防火墙中的自动响应功能。

　　Giardina说，不超过四分之一的iland用户使用这个Alert Logic监视服务。虽然Alert Logic负责每周7天每天24小时监视虚拟机，并且与消费者有直接的关系，但是，如果发生事故，iland也会参与。

　　Giardina说，并非每一个人都理解使用补丁的重要性。他指出，黑客和恶意软件可以造成服务器被攻破，Alert Logic也经常通知iland对这些事件做出反应。

　　Giardina说，虽然除了Alert Logic提供的服务之外iland目前还没有增加额外的第三方的安全服务的计划，但是，iland正在寻求建立自己的杀毒扫描和保护的可能性。这种服务将以即将推出的新版本赛门铁克软件为基础，利用基于VMware的VMsafe API实现管理程序级的监视。