【IT168 资讯】11月3日消息,RSA2011信息安全国际论坛第二天大会,继续Alice和Bob的奇幻冒险。IT168安全频道现场专题报道了此次大会。
VMware大中华区技术总监张振伦先生演讲(以下为全文):
大家早上好,今天很高兴有这样一个机会,跟大家分享一下当我们走到云计算的时候,我们的安全策略,一些合规性如何去走,我们传统看安全的时候,这些安全跟我们云计算的趋势还是有一些差距。怎么样把安全和合规也跟着云计算完成这个旅程这是非常关键的。但是看到云计算在如火如荼的发展,包括去年10月18号,我们知道工信部和发改委一起发文把云计算和虚拟化写入“十二五”的战略规划。在这样的背景下,我们怎么样去看好在安全和合规方面,能很好的跟上这个步伐,这是特别关键的。
首先你可以看到这里有介绍VMware是干什么的,我相信大家都知道,VMware最早做虚拟化,后来我们做数据中心虚拟化,今天我们去做云计算整个解决方案。我们从我们角度如何看云计算时代我们的安全和合规应该向哪个方向走。我们今天演讲分三块来看。第一个云计算时代与安全是什么关系。第二个,我们各个层面有哪些问题需要考虑,针对这些问题我们有哪些实践可以跟大家分享。第三个,我们怎么样构建我们的安全和合规的云之旅,让我们安全跟合规跟上云计算的步伐。
当然今天,无论谁看云计算,大家对云计算的定义是千差万别,曾经有朋友告诉我,他搜索了云计算定义,到今天为止已经有六十多种了,我说我不需要添乱了,我不需要做任何定义,大家都清楚或者都不清楚,无论你清楚不清楚,但是其中有一点被业界公认就是我们做云计算一定要做资源池,因此我们看到虚拟化在云计算里扮有举足轻重的地位。那我们安全、合规如何走虚拟化?当然往云计算走的时候,不仅仅是中国我们所有CIO在担心安全,这是全世界的趋势。
你会看到这样的调查结果,前四项大家最关注的问题都是和安全相关,无论是数据保密,无论系统安全访问,无论是数据隐私怎么走到前台,这都是大家对安全的要求,对安全的理解。对不同的人,可能会有不同的想法,比如说我们如何管理安全的策略,在虚拟时代,在资源池里面,有大量WLAN,这些如何管理?你从物理走到这样一个有弹性的环境我们如何控制?
当然我们是有相关法律法规的要求的,今天见很多用户,大家可能首先缺少的就是信心,我记得温总理说过,信心比黄金都重要。所以我们千万不能忘了,我们要有信心。
第二,就是要合规。很多人说相关法律法规不健全,所以我们不敢上云计算,不知道大家前一段时间有没有关注淘宝事件,相信大家看到这个事件了,在中国搞IT的人不知道这个事件应该学习一下。淘宝事件说明了电子商务法律法规不健全,电子商务已经走了那么多年,都还不健全,今天云计算不健全是再正常不过了,我们接受这个现实,我们应该沿着这条路走的时候,去帮助政府,帮助制订法律法规的部门,告诉他们问题在什么地方,然后实践才可以出真知。这也是为什么“十二五”把云计算写到战略新兴技术里,也是为什么国家注资十五个亿在企业里支撑云计算往前走,如果没有走的过程,就永远没有法律法规。法律法规不是坐这拍脑袋的,所以很多时候是信心问题,而不是我们应该怎么走到那一步的问题。
如果从技术角度来说,我们要实现一个好的安全,或者合规的环境,我们一定要把这个过程很好的定义,有很好的流程确保我们整个云之路的成功,实际上云之路的成功,不仅仅是资源池各个方面怎么样构建,安全绝对是必不可少的很重要的组件,只有把这个组件定义好,我们才能够构件出一个真正的云,真正可以走到我们将要走的理想事件,从私有云到公有云,再到混合云。每一个阶段都离不开安全和合规。
当然,整个云计算,我们目标不是说一定要把你的数据中心搬到公有云,或者一夜之间变成私有云,我们要明白这是一个旅程,这个旅程多久能走完,有很多企业,很多政府部门,我们沟通的时候,我们看到大家都充满了热情,想在三个月,或者半年之内,甚至更短的时间内走完这个旅程。这个心情我们可以理解,基本上这不是中国的问题,而是全世界用户都想这么走完。但根据我们的经验,我们看到的现象,或者说我们看到整个行业的进展状况,可能有很多用户要花六七年,至少三五年来走完,如果没有这样的旅程,可能很多地方节考虑不周全,就会出现很多问题,当然也包括像安全和合规等等方面都会出问题。因此,大家要有耐心慢慢的走好这个旅程。
那我们走这个旅程的时候,今天大家都知道,云计算会分这样三个层次,技术架构,到中间的PUS,到终端计算。每个层次我们走的时候都不能忘了安全,每一个层面都有安全,包括管理也需要安全,安全不是支离破碎,不是某一个环节把安全考虑好了就一劳永逸的。所以我们各个层面看的时候就要看看说,现有架构走到安全体系的时候,会分开看。无论走到云,还是传统组件,我们基础架构,我们技术应用,我们的开发,这些都是跟传统一样的,我们当然要考虑他们的安全。比如说我们今天的微博,博客,这些新的方式的出现,新媒体怎么样跟安全加在一起,这实际上都是对安全的巨大挑战,不能很好的处理将带来灾难性的后果。当然最重要的核心层次,我们怎么样去确保。
我们分开来看,我们的应用软件,老的应用,现在的应用,将来新的应用,老的应用我们要有很好的技术确保这些投资,新的应用我们要确保跟云兼容,我们可以把我们新的安全理念,能植入到新的应用当中,新的应用开发的时候,我们就可以考虑安全。因为老的应用可能没有云时代的思维嵌入进去,今天也就不能把老代码拿出来翻新。那么就会有各种各样的挑战,比如我这个应用软件是不是适合这个云,我这些数据应该放在什么地方?
大家想到放在云端的时候会带来什么样的挑战?放在本地会带来什么样的结果?这些都是我们做私有云,公有云应该认真考虑的。你会看到任何一个层面都会走到云端,比如数据角度,我们要评估中间的风险和合规性,因为你放在自己的数据中心可能还没有合规性的问题,或者说没有隐私泄露的问题,但是一旦放到公有云,这些问题就变得完全不一样。当然你放在私有云的时候,可能大家的共享也不是很方便,但是今天你放在同一个资源池,就再也不是烟囱式的应用方式,这些数据之间如何有效的保护,都是我们需要考虑的新的应用,老的应用走向云端必须要考虑的问题,只有这些问题处理了,才可以确保云的安全。
我们再看技术架构,无非是一些服务器,网络,存储,以及安全资源。这些资源走到云计算的时候,我们再去看,也有很多跟安全相关。这里面也涉及到存储怎么定义,我们重新构建的流程是什么样,我的数据安全合规怎么样考量,我的目前的安全战略是什么?这些战略移到云的时候会带来什么样的挑战?传统的资源,硬件上面运行某一个应用是固定的,今天我的应用是在硬件资源之上可以动态迁移的,这个动态迁移就带来很多挑战,这个挑战如何跟现有的安全合规结合在一起,来确保中间的可靠性和稳定性。一旦走到虚拟,我们会有虚拟存储如何分级,然后我们到底用哪种类型的存储,这些存储是本地还是异地,我的安全如何掌控,CPU内存从传统固定模式变成动态可以调整的时候,我跟上面的应用之间如何绑定等等,这些都是在安全合规的时候必须考虑的问题,这些都需要一定的流程确保。
当然开发,我们如何确保我们开发新的应用的框架是安全和合规的。现在大家开始慢慢应用新型的开发框架,像Spring等等,包括我们的database如何拿到云端,这些都需要我们处理,这里面有很多奇迹,大家知道一号店,在上海很多人用,07年建立,08年营业额是400多万人民币,他就是做在线的超市,等2010年的时候,大家猜一下它成长了多少倍?成长了40倍,这么一个在线的超市重要的核心价值在哪?是他的在线扩展能力,在写他后台的应用软件的时候,绝对不会像传统的应用软件的方式,今天支持100个使用者,明天支持1000个使用者,这样的应用软件应该有这样的扩展性,有这样的安全性,我支持一个很小族群的时候,我这个安全和合规是怎么考虑?等到这样一个规模的时候,我这些用户怎么样也可以确保安全和合规,这些都是面对中国奇迹的时候我们开发需要考虑的问题,而这些最好是要在平台层解决,而不应该每一个开发者都考虑这个问题,那将会大幅度降低我们开发效率。
另外一个层面就是最终用户计算,传统每个人拿一个笔记本,一个台式机,我们考虑这上面怎么附加安全?怎么做病毒扫描,怎么做入侵检测?怎么做数据防流失?有很多企业甚至把U盘端口封掉,把网络控制等等。传统做法都是基于每个人的应用的,但是今天我们放到云端,一个前提就是要把这中间的紧耦合变成松耦合模式,把应用软件扔到云端,把终端扔到云端,今天我们知道中国在做云终端,受客户机,零客户机,我们将来需要是像我们手机一样,我们插上一个SIM卡,就可以应用所有后台安全可靠的应用数据,这应该是我们将来看到很好的场景。在这样的场景下,我们再考虑安全,考虑策略的时候,都要跟今天发生一个很大的变化。因为我们要适应新形势的发展,把我们安全在各个层面做好充分的准备。我们要适应今天,同时要面向未来,我们要看今天病毒扫描在怎么做,我们要想在虚拟世界里,将来病毒扫描应该怎么做,这些都是很重要的关键组成部分。
当然从虚拟角度来说,虚拟化也给我们带来很多挑战,物理就是一对一硬性的绑定,我们看好一个物理硬件,所有数据都在上面。但是一旦走到虚拟化,你会发现我们数据是在漂移,我们应用是在漂移,这就意味这我们下层的高速和上层的应用真正实现了分离,这些分离就意味着传统的东西都不可以应用,这些都给我们带来新的挑战。
新模型,大家知道Facebook在国外很流行,中国也有类似的东西,我们企业里是不是可以利用相关的技术进行更好的操作。实际上企业内部有这样的沟通渠道是最好。但是今天之所以大家都不喜欢,或者中国政府不喜欢用facebook就是因为它不可控,如果你在企业里可以建立一个可控的facebook,那为什么不这么去做呢。因为不可控就意味着不安全,而我们在企业里使用任何一种解决方案都希望是满足安全可控的要求。今天我们可以集成这些新模型的功能,可以大幅度提升我们工作效率,从而提高企业的整个生产效率,或者说政府的办事效率。
社交媒体给我们带来好处业带来安全合规的挑战。那么安全合规方面有什么可以进一步提升?比如软件和程序当中如何加上安全合规的相关功能?有了这些,我们也会看核心模型,可能原先一家一户的状态,自己的数据中心可能还好,今天我们实现一个大联合,像前些年互联网对IT的挑战是一样的,如果今天没有网络,大家会觉得这个很好做,因为没有相互沟通,都是通过传统的传真,电话解决问题。但是今天我们有了互联网,互联网给我们带来巨大的挑战。我们之间的融合还没有把不同企业的数据放在一起,我们今天走到云计算,我们之间共享的成分就更多,需要更高明的技术来控制。
我们在这一块也看到美国、欧洲有一系列的法律法规,我们也有这样的需求,中国也在致力于这样的开发,当然暴露性和受攻击程度也越来越高,我们如何有效的管控信息安全?如何做好我们云计算?如何提高效率,降低成本?但在这些前面的就是我们不能丢掉安全和可控。管理也不例外,传统管理,是基于静态的管理,今天走到云计算,整个IT界发生巨大的革命,这个革命要求我们相关的组件能跟上,特别是管理。我觉得传统的管理方式就类似于今天我们看到的像计划经济和今天走到云计算,市场经济的状态,当然我们演化过程当中,我们需要注意这当中的问题,才可以确保走到新世纪我的安全才有保证。
有什么好的建议和步骤?基本上不难,就是几个基本的逻辑结构。首先要了解你整个架构是什么样,你在你的架构里面,结合你的应用实践,你在什么地方是最容易出现安全问题。或者你需要什么样的安全等级,我相信对于不同的用户,对于不同的应用,对于不同的数据,对于不同的终端,要求都是完全不一样的。你要把自己的需求明确的表示出来,形成一张热图,有了热图你才可以知道我什么地方已经满足,什么地方仍然存在问题,什么地方需要加强,什么地方可以很放心。你形成了这样一张地图,就是说我们有这样的技术架构,我们经过实践和分析,可能有些部分不需要考虑,有些部分需要担心,有些地方可能是严重威胁的状况,我们要分别区分对待,从而根据这个去形成自己的解决方案,然后针对每一个层面来实现自己的定义。当然最终我们希望我们能够严格把关安全,然后根据我们的实际需要,去满足这些审计的需要。当然特别特别重要的是,云计算里还有一点,大家已经认可的方向,就是我们尽量要把云计算变成像今天的电力和水这样的行业,这样的行业有谁会碰发电机?大量从事电力行业的人是在前台,而我们走到云,也是会走到这样的阶段,这些后面的部分应该归到很少的人,我们大量人应该做管理,做创新,做应用,当然我们希望这些都是自动化的。这是将来在安全发展很重要的方向。
当然,总体来说,我们做一个简要的总结,你会看到,我们整个安全就是要根据今天云计算的发展,能走到无论你构建私有云,公有云,还是混合云,你都可以有一个完整的安全合规的体系架构,你都能够去设好你走安全的路线图,每一步有执行的合理的目标,这也意味着我们可能不能一口吃成一个大胖子,你要想一步实现云计算,结果也是灾难性的。因此我们需要走好云计算之旅的时候,也要确保安全是一个很好的旅程,谢谢各位。
