RSA挑战传统云计算思维 安全要证据不要承诺

ZDNET 安全频道  2月16日 专稿：EMC（NYSE：EMC）EMC公司执行副总裁兼EMC信息安全事业部RSA董事会执行主席亚瑟•科维洛先生在2011 RSA大会的开幕主题演讲中，阐述了如何终结云计算信任缺失的公司战略。正是由于缺乏信任，很多企业始终踯躅不前，不敢在云环境中部署关键任务应用。

不仅是通过主题演讲，在今天发布的题为“要证据不要承诺：建立可信云”的新“EMC愿景书（EMC Vision Paper）”中，EMC也向传统的云思维发起了挑战。EMC坚信，云可以满足任何业务流程对信息安全、法规遵从和性能的要求，即使如PCI等最严格的要求也不例外。不过，要让云可信，必须能亲自检查和监控云的实际状况，而不能仅依据外部证明。惟有重新思考长久以来的信息安全理念，以创新方式运用现有技术，才能实现这样的可信云。

图：RSA 2011大会现场，全场2万人座无虚席

科维洛先生表示：“今天，利用云环境的企业面临的首要信息安全挑战，是使云受控和可见，这也是EMC致力于解决的根本问题。我们的承诺是，你能实现云安全，我们能以不同于以往的方式，从根本上实现信息安全。如果我们能实现控制和可见性这些在虚拟化的云环境中建立信任的关键要素，就可以验证这一点，无论这一云环境是内部管理的，还是外部合作伙伴提供的，都证明了可以建立这样的信任。”

过去几十年中，IT计算模式从大型机、客户-服务器转变到了Web。科维洛先生指出，与这些转变一样，虚拟化和云计算的根本目标也是实现安全性，这一点从未改变，即在一个可控制和可管理的系统中，通过可信任的基础架构，将恰当的信息提供给恰当的人。然而，由于虚拟而非现实的云基础架构无边无际，因此在信息、身份和基础架构这3个方面产生了大量变数，这正是IT部门面临的现状，这种状况也导致了控制和可见性问题。

科维洛先生提到：“虚拟化是云中的一线曙光，因为虚拟化使云能超越现实IT系统所能提供的受控度和可见度。通过将多个系统合并到单个平台上，企业获得了一个集中控制点，因而可管理并监控所有虚拟基础架构的组件。”

科维洛先生概括道，恰当地运用虚拟化这个利器，能使企业的整个虚拟环境具有无与伦比的可见性和受控性，并可将IT转变成改进信息安全和法规遵从不可或缺的资源。而恰当地运用虚拟化有3条途径：

逻辑上的和以信息为中心的安全性，定义逻辑的而非物理的边界，专注于保护敏感信息和交易而非基础架构。

内置到基础架构和应用中的安全性，同时安全管理控制达到非常高的自动化程度，要以云的速度和规模使信息安全和法规遵从发挥作用，这样的安全性是必不可少的。实现这样的安全性意味着，须将安全性置入虚拟化组件中，而且通过扩展，可将安全性分布到整个云中。

基于风险和自适应的安全性，有了这样的安全性，企业就可以减轻对静态规则和特征的依赖，转而通过实时数据分析预测安全风险，并主动做出调整。

科维洛先生最后说道：“通过这3条途径，我们能达到更高的控制和可见性水平，从而产生关键证据，如果你想建立信任，那么依据这种证据就可以了。企业能第一时间检查和验证各种情况是可信云的最高标准。这是一个基于证据而非承诺的标准。”