CA破解云潮之中的安全困局

　　2008年下半年到2009年的上半年，无疑是人类社会进入21世纪以来，经济形势最严峻的时刻。在金融风暴的洗礼之下，大部分的企业都在重新审视他们的财务报表和预算，除了裁员之外，企业也应该有其他节约成本的方案了。初露头角的云计算在这样的背景下开始被人们所关注。现在，随着金融风暴逐渐平息，尝到云计算甜头的企业和组织机构们发现，云计算不仅能够为他们带来成本上的降低，还能为他们带来原来无法实现的业务功能。在此之后，我们看到了云计算的大红大紫也不以为奇了。

　　在云的浪潮不断涌向企业之后，很多人发现新的问题出现了——谁来保障云计算的安全? 是企业自己还是云服务提供商?8月30日，CA Technologies在北京举行了安全解决方案日，CA Technologies大中华区副总裁周浩良以及安全与CA Technologies合规事业部总监Matthew Gardiner试图向我们揭示云计算时代安全保障的关键点和正确方法。

　　了解云计算的安全，我们当然要首先了解云计算，而了解云计算，我们似乎又能从100年前福特汽车的发展历史中找到相似点。

　　从福特汽车到我们为什么要用云

　　亨利·福特和其他11名合伙人在1903年创立福特汽车公司的时候，就立志要让汽车进入到普通消费者的家庭中，五年之后，秉承这一理念的福特T型车问世，亨利·福特的理想得以实现，汽车的普及也让美国又增加了一个外号——“车轮上的国度”。

　　在此之前，汽车一直以手工的方式进行制造，生产效率低的同时成本高昂，这使得当时的汽车只能为极其富裕的社会阶层提供服务。之后，福特引入了流水线的概念，用流水线标准化的大规模制造过程来取代传统个体的手工制作过程，革命性的变化让汽车的生产效率得到飞跃，成本也出现惊人的下降，20世纪20年代之后，福特进一步推广标准化，不再生产汽车的零部件，对所有零部件均予以采购，成本进一步的降低。福特的方案得到了全球的认可，也成为了现代汽车工业的标准架构。

　　回到IT上，我们也能看到一些类似之处。在现有的模式下，企业的各方面需求都需要通过软硬件来进行实施，而软硬件都需要企业自己去购买，自己去维护，毫无疑问，这对于企业而言是一笔沉重的负担。而在云计算时代中，一切都简单起来，所有的软硬件已经不再需要企业去购买和维护，企业需要做的只是在云端上购买服务，企业只拥有数据而已。在云计算环境下，企业不仅减少了软硬件的成本和维护开始，还能够享受到云端上很多原有企业没有足够财力可以架设的服务。作为企业，何乐而不为呢?

　　这也正是云计算带给我们这个世界的变革，我们也能够更好的理解到Matthew Gardiner为我们分享的云计算的概念：“将学术、科技以及商业模式打包，用来让IT的能力变成一种随需应变、可按比例扩容、并且有弹性的服务。”

　　云是100%完美的吗?

　　这个小标题中问题的答案显然是否定的!原因基于一个很明显的事实：如果云计算已经100%的完美，那现在企业已经毫不犹豫的全部倒向云计算的怀抱了，何苦还还在摇摆呢?

　　是什么让企业和组织机构都踌躇不定?周浩良与Matthew Gardiner告诉我们的答案是：安全，这个答案也是目前业内绝大多数人都认可的。

　　CA Technologies展示给我们的数据显示，50%的企业认为身份认证和管理是云计算时代最大的安全问题，交易连贯性和灾后重建、电子化搜寻步骤和合规性也都是企业对云计算安全的担忧。至于是有谁来负责云计算的安全，更是各执一词，在CA Technologies的调查报告中，69%的企业认为是终端用户对安全负责，而有64%的企业中强调交易单位进行管理，59%的企业中认为信息科技部门予以支持，甚至有25%的企业没有找到合适的负责单位，更有11%的企业寄希望于合规性和合法性的完善。

　　到底云计算安全的重点在何处?又应该由谁来负责呢?Matthew Gardiner认为，前一个问题的答案是身份认证管理和数据安全保障，只有实现了完善的身份认证管理才有可能进一步确保云的安全;而后一个问题，Matthew认为，IT的安全必须重新进行掌控，而云服务供应商和云的使用者需要共同来为安全负责。

　　建设从云端到终端的整体安全

　　既然CA Technologies认为云计算的安全要由云服务供应商和云的使用者共同负责，那么，一个覆盖二者的全面保护就必不可少。

　　从终端用户的角度而言，也就是企业和组织机构需要将企业的安全扩展至包括基于云的应用和基础设置上。CA Technologies也推出了相关解决方案来帮助企业，这就是CA Content Aware IAM。

　　实际上，在CA Technologies内部，也正在使用这套解决方案。

　　CA Technologies是云计算的忠实拥护者，据介绍，在CA企业内部，也在大规模的采用云计算，在CA内网中，有超过4000名员工使用Salesforce.com的服务，那么，CA是怎么确保他们自己云计算的安全呢?

　　在CA的IAM解决方案中，CA SiteMinder、CA Federation Manager和CA Identity Manager这些组件可以帮助到他们。CA SiteMinder是集中处理Web访问管理的产品，可以方便企业的客户、合作伙伴和员工访问组织内的Web应用和服务以及外部的SaaS;而CA Federation Manager通过利用身份联合标准(SAML 1.x、SAML 2.0、WS-Fed)，为企业的外部合作伙伴和内部员工提供安全的Internet单一登录;这二者实现了企业组织中访问管理和用户的单点登录，而CA Identity Manager则提供了对用户的配置和取消配置的功能。

　　除了功能之外，IAM还提供了良好的兼容性，和流行的云计算服务Salesforce.com、WebEx、Google等都能良好兼容。

　　从云服务供应商角度，他们需要自助的服务、认证、授权、用户身份供应以及日志管理和虚拟化安全方面的要求。我们仍然一IAM为例来解决这些问题——事实上，IAM也确实能做到。

　　CA SiteMinder和CA Federation Manager仍然是云服务供应商需要的组件，它们可以为云服务供应商提供良好的身份认证和管理解决方案，而CA SOA Security Manager就将为云服务供应商提供SOA/WS的端到端安全，这是一个以身份为中心的SOA/WS软件安全产品，可以通过检查XML请求中的安全信息来保护对服务的访问。

　　如果我们认为，让云的使用者和云的供应商通过完善的解决方案来通过维护云计算的安全，这就足以解决云计算的安全危机，那显然还不足够。如果不能保障来自云的安全，那么，即便双方已经各自部署好安全系统，我们的云服务仍然存在漏洞。

　　CA Content Aware IAM的设计上也考虑到了这点，针对来自云的安全，IAM提供了更强力的认证机制，同时不会给用户带来更多的困扰，也不会影响到企业的正常业务进行。

　　木桶效应告诉我们，木桶中的水最高只能和最短的那块板一样高，而危机总是会入侵到企业安全防御中最薄弱的环节。CA Content Aware IAM通过身份控制、访问控制和信息控制三个大功能模块，实现了在云平台下信息访问主体到客体以及访问全过程的完善安全解决方案。面对难以抗拒的云计算浪潮，企业组织似乎也能够解决了些许后顾之忧。