云计算安全不是出路

    Counterpane Internet Security公司的首席技术官Bruce Schneier认为，没有什么替代得了内部部署安全。

    安全的其中一个基本理念就是深层防御（defence in-depth）：多个相互重叠的安全系统旨在提供安全，即便其中一个系统出了故障。一个例子就是防火墙结合入侵检测系统（IDS）。深层防御之所以能提供安全，就是由于没有单一故障点，也没有假定的单一攻击途径。

    正是由于这个原因，到底是选择在网络中间（云环境里面）部署网络安全，还是在端点部署网络安全，这种选择就显得没有必要。没有哪个安全系统是万灵药，双管齐下的效果要好得多。

    这种分层安全正是我们看到在日趋发展及完善的。传统上，安全部署在端点处，原因是这是用户所能控制的。一家公司除了在自己的网络里面部署防火墙、IDS及反病毒软件外，别无选择。随着托管安全服务及其他外包网络服务的兴起，现在能够在云环境里面提供额外安全。

    我完全赞同云计算安全（security in the cloud）。如果我们今天能够从头开始构建新的互联网，就会把许多安全功能嵌入到云环境里面,但即便那样也取代不了端点处的安全。深层防御消除了单一故障点，而云计算安全只是分层方案当中的一部分。

    比方说，考虑一下目前可供使用的各种基于网络的电子邮件过滤服务。它们在过滤掉垃圾邮件和病毒方面做得很出色，但认为它们就能替代桌面上的反病毒安全机制，那真是愚蠢的想法。许多电子邮件只是内部邮件，根本不会进入云环境。更糟糕的是，攻击者有可能打开企业基础架构里面的邮件网关。明智的公司会构建深层防御机制：云环境里面采用电子邮件过滤机制，桌面上则采用反病毒机制。

    同样的道理适用于基于网络的防火墙和入侵防御系统（IPS）。如果各大运营商部署基于云计算的解决方案，将会大大提高安全性，但它们替代不了传统的防火墙、IDS和IPS。

    这应该不是只能两者择一的决定。比如在Counterpane公司，我们既提供云服务，也提供比较传统的网络和桌面服务。真正的关键在于，让一切安全服务都能协同运行。

    安全涉及技术、人员和方法。不管你的安全系统位于何处，除非专家人员注意它们，否则它们没有效果。实时监控和响应最重要；设备放在何处是次要的。

    安全总是需要取舍。预算很有限；经济方面的考量经常压倒安全方面的顾虑。传统的安全产品和服务以内部网络为中心，因为内部网络是攻击目标。由于同样的原因，法规遵从也侧重于内部网络。云计算安全是一个很好的补充，而不是替代比较传统的网络和桌面安全。