“云”计算还是“沼泽”计算?

　　在不久前举行的RSA 2010安全大会上，麻省理工学院教授、图灵奖获得者，著名的信息安全专家Ronald L. Rivest在谈到云计算的安全问题时，半开玩笑地指出，“也许我们起名叫‘云计算’本身就是一个失误，因为这名字很容易让人感觉有趣和安全。但事实上，网络中充满了威胁和险恶，如果我们当初把它叫做‘沼泽计算(swamp computing)’或许更能够让人们对它有一个正确的认识。”

　　的确，就如同中国的成语“判若云泥”一样，如果我们处理不好云计算中的安全问题，这个描绘中美好的“云计算”很可能转变成真正的“泥计算”，并把我们的企业和业务拖入沼泽。

　　然而，保护云计算的安全问题并不简单，思科首席执行官John Chambers认为，云计算将是一场网络安全的噩梦(security nightmare)，并且通过传统的防护方式，并不能将人们从这场噩梦中唤醒。

　　云安全联盟最新的调查研究也显示，51%的企业CIO认为安全是云计算最大的顾虑。而且，这些安全问题并不是一种隐忧，它实际上已经在不断的发生。例如对于运营商而言，要保证云计算的可用性，最重要的一点就是防护DDoS攻击，而在云计算时代，要做到这一点就面临着巨大的挑战。那么安全厂商又该做些什么呢?

　　悄然“升级”的背后

　　就在不久前，思科自己的网站上发布一条关于Guard清洗中心升级解决方案的通告，通告中表示，思科的Guard清洗中心解决方案将面临一次升级，由思科的合作伙伴Arbor网络公司继续提供新的、全面综合的防DDOS攻击的解决方案。据称，“整体解决方案的关键因素包含了思科交换及路由平台的netflow 技术，Arbor Peakflow SP及清洗系统 (TMS威胁管理系统)。思科特别指出，为了今后的发展，建议客户迁移/升级到这个新的体系结构作为DDOS攻击的保护。”

　　我们知道，在国内，思科的Guard清洗中心解决方案已经被成功的广泛应用于大型互联网运营商、主机托管中心以及大型企业客户，有着很好的市场潜力，那么这样一款产品，为什么最终会交由合作伙伴Arbor Networks来升级推出下一代产品呢?其实，其中最关键的因素就在于，云计算时代的到来，网络应用环境的复杂性与攻击变化的多样性快速提升，使得安全变为一个更需要专注和专业的“技术工种”。

　　根据云安全联盟的调查，在云计算服务模式下，互联网应用层面的安全性变得越发突出。从著名的信息安全博客——赛道(www.sectao.net)我们了解到，在近期网络中20个较高级别安全威胁中有16是应用层威胁，许多攻击、信息泄密都是由于应用层出现了问题。在企业业务应用的部署方面，像微博、Facebook、 Sharepoint、wiki等应用的迅猛增长，都带来了大量的风险，数据丢失、法令法规、运营成本、 生产力下降、业务持续性等问题。

　　具体到DDoS攻击上面，我们回顾其解决方案的发展过程可以发现，在2000年时互联网刚刚兴起，用户通常采用DDoS防火墙即可有效抵御攻击。而在2005年，随着Web 2.0的蓬勃发展，托管服务安全供应商(MSSP)成为了那一时代的非常好的解决方案。如今进入了云计算时代，原有的方式显然已经并不适用。

　　正是基于这种考虑，思科决定停止对Guard模块继续研发，转而与长期合作的互联网优异流量分析者Arbor公司进行合作，通过集成路由与安全技术实现异常流量(主要是DDoS)“云”清洗系统，将Clean Pipes解决方案升级到了2.0版本。在Clean Pipes 2.0中，Arbor Peakflow SP 威胁管理系统(TMS)将成为Guard的升级方案。而新的方案，最终将通过SaaS(安全既服务)的方式，实现高效率的“云清洗”。