编者注:这里是RSA总裁艺术Coviello的RSA会议2010年主题演讲的成绩单,其中包括他对云安全等的思考。
早上好,每个人。欢迎参加RSA 2010大会。这个聚会一年比一年重要。除了偶尔发生的数据库泄露事件,网络漏洞和攻击成为主流媒体前所未有的话题。
为了强调局势的严重性,本周你们将听到国防部长纳波利塔诺、联邦调查局局长穆勒、白宫网络安全协调员霍华德·施密特以及许多行业和政府领导人的讲话。
对于我们这些供应商和从业者来说,这似乎从来都不是件容易的事……不是吗?恶意软件泛滥成灾,全球经济在成本控制的束缚下艰难复苏,新一波计算浪潮——云计算(cloud computing)——正在努力站稳脚跟。
但它可能会变得更容易。如何?通过利用使云确保云的技术来保护它。听起来天堂。但正如我父亲曾经说的那样:“每个人都想去天堂,但没有人想死去那里。”
因为云计算代表着挑战以及机会,我们必须小心我们不会在安全地狱中最终。
每当我感到被巨大的挑战困住时,我喜欢回顾历史,提醒自己人类思维的无限创造力,以及它完全重新想象生活中在别人看来不可改变的方面的能力。
我们不需要看得更远,只需要看最近的过去和我们今天早上纪念的人,惠特·迪菲以及我们自己的R, S,和A他们在重新构想密码学方面的创造力。
这些是看到他们面前别人的人不能 - 无论他们看起来多么努力。从他们的洞察力来看,他们建立了一个新的愿景 - 有时候很完全。
考虑另一个鼓舞人心的例子。想象一下,在古顿堡的印刷机发明之后,在三个世纪中居住在盲人中的盲人。印刷机表示信息基础设施的扫描变换。它永远改变了思想,知识和信息的方式。
然而,如果你是盲人,你将被锁在这个记录知识的新世界之外。
然后在19世纪早期,路易斯·布莱叶出现了——他从三岁起就失明了。16岁时,他设想并设计了一套系统,能让盲人既能读也能写。他的好奇心使他发明了一种通信方式,这种通信方式是战场上的士兵在晚上需要互相发送书面信息,但不敢点燃一根火柴时使用的。
布莱叶采用了他们的凸点格栅,但极大地改进和简化了他们的系统,并一直延续到今天。正如一位历史学家所说,“盲文是盲人的古腾堡(Gutenberg)。”
这与我们的行业和我们今天的情况有何相关?
我相信,我们在安全行业需要一个更高和更广阔的视野,连接到当前正在进行的IT转型的巨大浪潮,那就是云计算。思考一下为什么云计算如此强大。它使企业能够将其老化、不灵活和成本高昂的It基础设施抛在脑后,进入一个以选择性和灵活性为特征的“现付现付”的新世界。
这也不是太快,因为组织花费多达三分之二的IT预算仅仅是为了维护他们的基础设施和应用程序——保持照明。
云计算可以极大地改变这三分之二/三分之一的比率,从而使更多的精力和投资可以用于真正的创新和竞争优势。问题是有些东西阻碍了云愿景的完全实现。
这就是安全。
CIO杂志最近发布了cio现状研究报告。还有,51%的受访首席信息官(cio)表示,安全是他们“围绕云计算采用的最大担忧”。
如果你正遭受着云疲劳的困扰,或者已经厌倦了这个话题,让我提醒你一下当时麻省理工学院(MIT)媒体实验室的梦想家尼古拉斯•尼葛洛庞帝(Nicholas Negroponte),他在1997年说过:“互联网是历史上最被过度炒作但又被低估的现象。”
标记我的话,云计算也是如此。
云计算将完成由互联网释放的IT基础设施的转型。组织会要求它,因为他们绝对必须从他们的it投资中获得更快更好的回报。因此,我们必须在实现云计算方面发挥重要作用。
以下是我认为我们面临的挑战和机遇:
挑战是确保将安全性设计和建造在云中,以便每个尺寸的组织 - 从最小的商家或代理到最大的政府或多国 - 可以广泛地利用云......完全有信心的信息和交易是安全的。
我们的行业需要提供安全服务,以确保云中的保护水平超过当今物理环境所提供的保护水平。简而言之,世界各地的人们必须能够信任云,即使他们从字面上和隐喻上看不见它。这是我们的挑战。
我们的机会呢?
答案是,云计算将使您的工作比以往任何时候都更加重要和突出。云计算是我们彻底改变安全交付方式的机会。我之所以这么说,是因为云将迫使组织认真关注他们的安全管理过程,而不仅仅是他们的端点——死端点——安全技术。我们有一个难得的机会来“重头再来”,从一开始就有内置安全的计算的新浪潮的创造和推出。我们可以在底层创建一个基础设施,它实际上比今天的物理基础设施更安全,更能促进创新!
这是我今天的重点——我们如何共同使云具有内在的安全、兼容和治理,以确保我们的信息的机密性、完整性和可用性。换句话说,这是前所未有的安全保障。
那么我们在哪里开始?在云计算的世界中......我们需要强制执行我们在物理世界中拥有的所有相同的身份,信息和基础设施策略。但它变得棘手,因为虚拟基础架构与底层硬件基础架构一起使用的软件环境......因此,您可以将许多服务器,存储系统和网络聚合到共享资源池中。
当我们考虑如何使云安全时,我认为最好从人,过程和技术开始 - 就像我们在商业和安全的其他方面一样。
所以让我们从人物和过程开始。在物理世界中,这些都是孤独的。单独的组侧重于存储,服务器,网络,端点等。在云中,许多这些操作和角色将会收敛。
例如,我们可能会看到正在同时播放网络,存储和服务器管理员的所有角色的虚拟机管理员。
这种角色的融合带来了新的挑战....我们需要重新考虑负责管理信息基础设施的安全团队和确保服务质量的运营团队之间的交接策略和相关流程。
虚拟化是云的引擎将推动我们前进;不在一个突然的,巨大的飞跃,而是作为一个组织将采取自己的节奏,在沿途中实现有形利益。通过嵌入虚拟抽象层中的安全性 - 我们得到了我们的“截止了。
我们可以在这个虚拟层中对信息、身份和基础设施实施策略。因此,我们可以从基础设施转向以信息为中心的政策,专注于什么是最重要的——信息和谁能获得信息——而不是毫无意义的外围或仅仅是管道。
在这段旅程中,我们看到四个明确的阶段。这个旅程从非关键任务基础设施的虚拟化开始,如测试和开发系统和低风险应用程序。
根据VMware统计数据,大约25%的服务器今天虚拟化,您现在的许多组织都在这一阶段。在此级别存在相对较少的新安全要求给出了应用程序的非批判性质,但在这个阶段,您将擅长虚拟化工具并开始“硬化”虚拟基础架构的过程。
在旅程的第二阶段,组织虚拟化关键业务应用程序。随着安全需求的比例扩展,基础设施的可伸缩性和弹性大大增强。在这个虚拟环境中,您将需要与物理环境中相同级别的遵从性可见性。在这里,考虑到虚拟机的可移植性,内部风险的重要性增加了。
它在这一点上,我们希望将安全性推向堆栈,深度虚拟层。嵌入控制器今天螺栓固定在物理基础设施上。
在这个旅程的第三阶段,企业开始开发内部云,并将其信息基础设施作为公用事业来运营。
该阶段包括一个完全虚拟化和自动化的数据中心,其中应用程序工作负载是策略和服务级驱动.Now,企业必须具有更具成熟的雷竞技电脑网站工艺来治理,风险和符合性,可以跨越其物理和虚拟基础架构。
并且由于我谈到了早期(服务器管理,网络等)的角色的融合,监视和控制特权访问变得越来越重要。
另外,自助服务和自我配置增加了新的复杂程度。因此,这里监视和控制变化也将是至关重要的。
在第四阶段,企业开始将其基础设施外包给外部服务提供商。但是,除非服务提供者能够证明他们有效地执行策略、证明遵从性和管理多租户的能力,否则您不会想要其中的任何一部分。
在这个阶段,联邦成为一个重要的能力。
组织需要能够对其服务提供商决定和联合身份和策略,了解如何访问和处理信息。接下来,他们需要要求云提供商提供强有力的遵守证明,即使在云的最深层面。
服务提供商应该能够告诉合规官员和审计人员他们需要知道的任何事情——使用可验证的度量标准。
最终目标是生成基础架构中发生的相关事件的简明摘要,直接提供给GRC仪表板,以可视化法规遵循的状态。
第四阶段的最后一个元素是如何管理多租户环境。服务提供者必须防止多个承租者的敏感数据混合在一起。要实现隔离,需要控制租户之间的信息流。
为此,我们需要创建可信资源池或区域。这些可信区域将由虚拟基础设施直接管理,以确保在这些区域内和区域之间执行信息策略。
但有时您只是不想在同一台物理机器上有两个相同的租户。例如,我无法想象可口可乐会希望他们的虚拟机与百事可乐的虚拟机在同一个硬件上。要实现这一目标,我们需要对如何从本质上重新连接实体和虚拟世界进行创新思考。这可以通过在芯片级别利用信任的硬件根来实现,该硬件根验证虚拟机是否在正确的硬件系统上运行。
还可以利用信任的硬件根来创建具有类似安全配置文件或遵从性需求的可信系统池,然后可以动态分配这些池以优化工作负载。
这些可信的云资源池确实是两个领域的最佳选择:
它们提供了云的流动性和灵活性,并保证了可预测的、经过验证的安全控制和流程。
实现基础设施作为服务的可见性、评估该服务的安全态势、信任结果度量并向审计人员证明遵从性的能力不仅仅是理论上的。
今天早上RSA宣布与英特尔合作和概念证明,VMWare和最新的RSA家族之外,阿切尔技术,展示如何可以完成,你可以看到这个能见度的概念证明EMC展台专注于加速虚拟化安全的旅程。
虽然建立在可测量的信任链上的云基础设施的出现并不是解决云安全性和遵从性的万能药,但它确实标志着一个重要的里程碑。
硬件和虚拟化图层以前在云中为“黑匣子”,现在成为云的最佳应用程序服务层的符合性的“黑匣子”。
有了这种以前无法想象的可见性水平,云提供商可以开发基础设施级别的策略控制和端到端安全认证,以处理最苛刻的安全需求。
这就是这段旅程的四个阶段,但更重要的是,我们知道如何克服这些挑战。