动态联合认证能否解决云安全难题

虽然互联网业界整天都在发展单点登录和session共享等技术，以期望简化网民操作步骤，增强用户体验。但诸如金融和政府等敏感部门却对其并无好感。原因简单至极，单点验证方便了用户，也方便了黑客。

但除了单点验证和静态登录的问题以外，就没别的安全隐患了吗？

答案也是否定的。技艺精湛的黑客们会用计策攻陷某些主机，然后深度潜伏，层层渗透获取多点登录权限，直到拿下他们的最终目标。藏有敏感身份凭证的主机，经常浏览社交网站和视频站点的用户，私自接入网络的平板电脑、手机等等都是主要目标，这些……让传统的防御变得不堪一击。

为了应对这样的攻击者，业内的安全公司开始各取所长，合作开展新式防务——将云安全的过滤、审核、认证做得“更动态”。

2012年3月初，RSA，EMC信息安全事业部和云安全公司Zscaler联合宣布，双方正在共同开发一个基于云的解决方案，确保访问任何Web应用或云服务的身份持续可信。该解决方案旨在帮助机构将政策和控制应用到甚至企业网络之外的身份，并简化在管理多个云应用和 Web服务相关的用户凭据时遇到的挑战。源自RSA的云可信权威服务、RSA自适应身份认证，基于风险的认证和身份联合，与具备Zscaler云安全服务的线内Web安全功能整合在一起，能够为用户访问互联网提供一种无处不在的服务，进行持续的、风险感知的身份认证。

该解决方案将基于设备识别、用户行为分析和漏洞检测，提供强力的用户认证、身份联合及动态风险评估。开发中的组合服务将用于帮助机构降低因认证不充分、凭证被盗或用户设备及账户被盗所带来的风险，包括数据失窃、服务滥用以及其它网络威胁。通过监控认证用户行为和环境条件，该服务将创建一个动态的风险概要，降低Web应用遭到被盗账号、机器人以及恶意软件访问的潜在可能，同时还能确保积极、简单的用户体验。

“信任已不再是简单地识别用户。由于更多设备种类、从更多的地点、访问更多的应用程序和数据，必须动态地创建、动态地加强信任。”这是Zscaler总裁兼CEO——Jay Chaudhry在RSA2012大会上说过的一句话。

听着很牛气吧，可能有朋友这时候会问了，Zscaler这家公司有多牛，会让RSA与其有这么紧密的合作？

大家不妨来看看这个，如图1所示。

图1 Zscaler在2011年5月的Gartner象限中所处位置

Zscaler的业务是帮助公司从那些令人厌烦，花费巨大的Web过滤与网络控制中解脱出来，由一种基于“云”，按月付费的模式所取代。可以将其看作是是一种Web代理，对用户所有的进出流量进行拦截，从中检查这些Web活动中是否有潜在的危险或违规。

他们有一批网络安全方面的专家，负责为不同的客户设计非常细致的安全策略，如员工可以访问哪些网站，什么时候可以访问这些网站。

2010年到2011年，这家云安全公司在原有优势上继续高歌猛进，不管是市场还是技术，都让人刮目相看，如此看来，RSA与其合作，可谓是如虎添翼了。

可能有的朋友会较真一下，要说“动态”的安全认证，其实RSA公司的解决方案早就已经囊括了。但为什么这里还要和Zscaler合作呢？

对此，RSA总裁亚瑟.科洛维表示：“Zscaler是做云基础设施控制点产品，而RSA不打算做这些。Zscaler不做身份管理也不做认证，假设这里有一个员工想接入企业网络，要通过Zscaler的产品，然后Zscaler对他们要进行身份认证，通过身份认证后允许接入企业网，随着一段时间过去，Zscaler有很多的信息，要导入到治理可视层。所以我们宣布和Zscaler的合作，等于是一个结合。云架构有三层，Zscaler是在底层基础设施。”

而谈到和RSA的合作时，Jay Chaudhry，ZScaler公司总裁兼首席执行官讲到：“要建立信任，简单地识别用户身份已经不再充分了。随着更多设备从更多地点访问更多应用和数据，信任必须动态地建立和利用。与RSA进行技术合作后，我们将能持续、动态地建立信任，进而增强客户的信息安全和客户所依靠的云服务。”

作为用户，大家不妨期待这两家公司的结合能产生更好的安全体验。