【IT168 专稿】随着09年云计算平台的愈发火热,其对安全性和合规性要求也越来越严格。实际上,以目前现有的技术而言,保障云计算平台的整体安全性并不是难事,关键看如何去整合现有资源,从局部安全保障一一做起,最终实现整体安全保障。所以从这个层面来看,作为已经被EMC收购的RSA公司而言,无疑会对此有自己的独到看法和见解。近日,IT168记者有幸采访到EMC信息安全事业部RSA首席技术官Bret Hartman先生,就相关问题做出解答。
Bret Hartman:EMC信息安全事业部RSA首席技术官
作为EMC信息安全事业部RSA的首席技术官,Bret Hartman负责为EMC公司制订安全技术战略,这些战略由RSA安全事业部实施。在供职RSA之前,Hartman先生是EMC公司信息安全部门的技术总监。
Hartman先生在大型企业建立信息安全解决方案领域拥有超过二十五年经验。他的专业研究领域包括:面向服务的架构(SOA)和Web服务安全,政策制定与管理,安全建模与分析。Hartman先生曾在几十个安全和隐私的行业活动中发表演讲,他是分布式系统安全领域内公认的权威。
RSA加入全球首个虚拟计算环境联盟
关于虚拟计算环境联盟,旨在通过普适数据中心虚拟化和向私有云架构的转型,不断提高IT基础架构的灵活性,降低IT、能源和空间成本,从而让客户能够快速地提高业务敏捷性。即企业IT基础架构的未来是私有云计算。私有云是一种虚拟的IT基础架构,专为一个机构安全地控制和独立的运行。它可以由该机构或第三方管理,它可以在该机构所在地点之内或者之外,或者兼而有之。私有云计算既提供了当前数据中心的可控性和安全性,又提供了业务创新所要求的敏捷性,而且大幅降低成本。
据麦肯锡公司估计,全球的数据中心在技术基础架构和服务方面的开支每年超过3500亿美元,其中一半是资本开支(产品),一半是运营开销(服务和人工)。此外,估计有70%或更多的开销用于维护现有的基础架构,只剩下30%或更少的开支用在能够使企业在业务差异化方面实现突破的新技术和新应用的开发上。另据估计,数据中心虚拟化和私有云技术的市场规模到2015年大约为850亿美元,占整个数据中心市场的20%。
“虚拟计算环境联盟”为各种规模的组织机构提供了数据中心转型的加速之路,从而帮助他们极大地提高数据中心效率,同时大幅降低资本开支和运营费用。这样,组织机构就不用再为究竟是选择最好的技术,还是选择端到端的供应商可靠性而劳神。
“RSA在联盟中发挥非常重要的战略性作用,主要是为这个联盟提供安全方面的一些产品满足它的安全需求。短期内RSA主要提供现有产品,比如强身份认证,另外提供envision。长期看我们打算把更多的RSA的产品嵌入到VCE中,比如数据丢失防护产品,数据中心身份认证产品等等。因为我们知道合规对VCE联盟而言,还有对他们推出的部署而言,是非常重要的要求。”Hartman如是说。
“目前最重要的趋势之一就是虚拟化和云计算。我认为目前在全球范围内,很多企业第一步把自己的数据中心虚拟化,随后希望进一步把虚拟化服务转移到数据中心之外的范围内,转移到云环境中去。目前采取这种技术的趋势速度是非常快的,人们为什么这么热衷于部署这样的技术呢?因为这样的模型可以带来大量财务方面的节省。我认为在采取新技术的过程中我们面临的首要任务就是安全,我们需要问自己这样一个问题,我们是否可以信任环境。这也是为什么RSA做了大量投入,进一步促进云安全技术的开发,从而确保信任的云环境,确保企业可以将非常关键的数据部署到云服务提供商创造的云环境中去。
未来云计算对于安全的诉求会越来越强
“云计算环境中的安全危险目前已非常严峻了,而且今后安全威胁会变得越来越严峻。因为在云计算开放环境中攻击越来越多,而且在开放环境中很多计算资源今后都会面临更多的风险。” Hartman如是说。
据了解,RSA为云计算的安全性提供两个层面的保护,第一层面可以向云资源服务提供商提供保护,保护他们免受外来攻击,比如网络犯罪、网络攻击给他们带来的威胁。第二层面可以满足云计算环境种不同租户之间数据孤立性。在一个云环境中可能有两个以上用户(租户)之间的数据不会互相干扰,而且一个用户在未授权的情况下,不能访问另外一个用户的数据。第三层面确保云服务提供商自身平台安全,比如访问控制、身份认证等基础性的要求。只有满足这三方面的需求,企业才能无顾虑的把传统业务平台转换为云计算平台。
此外RSA提倡的Tokenization“敏感信息虚拟化技术”,也是为此而推出的新服务。同时这项服务也是与信用卡服务商First Data共同提供的。简单来说就是,比如用户到其中一个商户的网站定购了一件衬衫,用信用卡付帐,卡号会发给商户,过去商户的做法是把信用卡数据存在自己的数据中心或者数据库中,如果数据库安全行不够,用户的信用卡号就有可能面临被窃、丢失或者欺诈的威胁。现在商户的做法是把信用卡号放在First Data提供的敏感信息虚拟化服务中,这样First Data就可以把信用卡号加密后,放在First Data自己的数据库中。反过来First Data会给用户提供一个令牌,这种令牌是一种格式,其呈现出的特征跟原来的信用卡号看似相似,但实际上并不是用户的信用卡帐号。
采用这样的机制,商户不用再自己存储信用卡号,由此也减少了卡号丢失、被窃的风险。如果这些商户今后再次需要信用卡号,就可以把令牌再发给First Data,First Data会对令牌进行身份验证解密,再将原始的信用卡号发到商户那里去。这也是云服务的一种,体现了RSA如何在云服务中使用加密、密钥管理服务。Hartman 最后说道“这样的云服务最好之处可以让商户从此可以高枕无忧,不用担心信用卡号被盗窃或者丢失的问题,而且他们也不用再费尽心思地保护信用卡号。”
