访潘柱廷：安全问题在云计算时代被放大

  云计算缺乏统一的标准，比如数据存放在哪里？云计算供应商是否满足当地政府的要求？......同样云计算安全也面临同样的问题，数据是否安全？黑客发起攻击受影响面更大？企业一旦从云计算供应商那里选择服务，那么信息与数据的安全如何规避风险就成了企业最关注的问题。云计算对于IT行是颠覆性的概念，不可能一蹴而就，安全是云计算能否成功的致命因素……

  对于以上等问题，天极网记者采访了启明星辰首席战略官潘柱廷。

  问：. 伴随着云计算的落地，爆发出了很多问题，安全、隐私、法规等等已引起广泛的关注，在您看来，哪个问题比较严峻？

  答：云计算作为一种新型计算和商业模式，确实能给用户带来一些好处，最大好处当然是能够帮助用户节约IT成本，但我们在看到其好处时，不能忽视其安全问题，这些安全问题包括数据安全、隐私和法律法规遵从问题。其中比较严峻的应该是数据安全问题。在云计算模式下，数据所有权和处置权是分离的，用户虽然拥有数据，但是数据处置权移交给了云服务提供商。云计算中的用户数据体现为三种形态：存储在云数据中心的静态数据、正在处理的缓存数据以及传输中的动态数据，每种形态的用户数据都需要云服务提供商提供足够的安全保护措施才能够确保用户数据的安全，这些安全措施包括对存储的用户数据和虚拟机映像文件进行加密存储，对正在处理中的数据进行同态加密处理等等。但是，这些安全措施大部分是由云服务提供商来执行，因此，用户必须充分信任云服务商的访问控制模型。要做到对云服务提供商数据访问控制模型的充分信任，则必须有一个公正的第三方对云服务提供商所宣称的数据访问控制模型进行审计和验证，这样才能让用户放心。但到目前为止，这方面进展并不是太理想，因此，我们看到，其实很多用户并不敢将自己的核心业务迁移到云计算环境中，就是因为他们在安全方面有很多的顾虑。

  问：安全问题并不是云计算时代所特有的，但却似乎在云计算时代被无限放大，您觉得是什么原因造成了这样的现象，或者说相较于传统安全，云安全有什么特殊性？

  答：在云计算环境下，传统网络中的安全问题依然存在，包括操作系统漏洞攻击和应用软件漏洞攻击，但由于云计算为一种新型计算模式，并且云计算引入了虚拟化等新技术，使得安全问题在云计算时代被放大。在云计算模式下，用户数据和应用程序都集中在了云服务提供商处，用户失去了对其应用和数据的直接控制，因此，很多用户担心其数据在自己不知情情况下被恶意拷贝、修改或删除，从而导致用户受损。另一个就是虚拟化技术引入导致的问题，虚拟化本身可能存在问题，比如虚拟化层漏洞导致的虚拟机逃逸。虚拟化环境下，用户服务器其实是一个虚拟机映像文件，用户很担心虚拟机文件被恶意拷贝、修改或分析，从而导致敏感数据泄密。云计算另一个特点就是动态性，比如虚拟化环境中虚拟机可以动态迁移，如何保障虚拟机迁移过程中安全策略的一致性是一个很大的问题，这涉及到对虚拟机当前位置进行跟踪，以及对虚拟机运行环境进行感知，并能够自动配置虚拟机周围安全产品，使得虚拟机安全策略在新的环境中仍然能够得到有效执行。一般虚拟化管理平台是不可能提供这种能力的，这需要一个智能的安全管理平台来协助虚拟化管理平台实现。

  问：2012年可以说是云计算落地的关键年，您觉得用户还会因为“云的安全”问题而畏惧前进的脚步么？安全问题是否依旧是阻碍云计算落地最大的“元凶”？

  答：云计算环境确实存在很多安全问题，但如果用户事先对这些安全问题进行了全面的了解，并采取有效措施来规避这些安全问题，则云计算还是可能在一些领域开始落地。特别是私有云，由于私有云是由用户自己控制，其安全问题的解决相对来说简单一些，因此，私有云可能会首先落地，我们也看到一些有实力的大企业和电信运营商正在构建自己的私有云，并尝试将一部分业务迁移到云中。再有，一些中小企业处于成本和安全考虑，可能会租用一些目前市场上可直接获取的、比较成熟的软件即服务云计算服务，因为对于他们来说，云服务提供商所提供的专业安全服务远比他们自己聘任安全管理人员来解决其业务系统安全问题更好更划算。虽然出现了这些可喜的云计算业务落地，但不可否认的是，云计算安全问题仍然是阻碍云计算发展的主要问题。这些问题的彻底解决一方面需要靠技术的发展，比如需要大力发展同态加密技术来解决数据处理过程中的私密性问题;需要完善云计算方面的立法来约束云服务提供商，从而杜绝云计算中的内鬼问题，并需要第三方云计算安全评估和审计机构，来确保对云服务提供商的云计算环境是可信的。

  问： 也许用户不会因为安全而停下“入云”的脚步，对于要入云的用户，就安全方面您对他们有何建议？

  答：对于要入云的用户，我们给他的建议是：1)请充分了解云计算中的安全问题和安全风险，并对这些风险进行评估，如果这些安全风险是可接受或者说可以采用一定方法规避，则可以考虑使用云计算;2)选择好的云服务提供商非常重要，一定要对云服务提供商进行全面考察，考察其安全管理流程和规范，采取了哪些安全机制和措施等等;3)在将业务系统迁移到云计算环境前，需要对业务系统进行充分的评估，包括性能和安全方面，因为有些业务是不适合在云计算环境中运行的;4)将业务系统迁移到云中是一个循序渐进的过程，建议先将一些不太重要的业务系统迁移到云中，当获取了一定的经验后，再考虑将其它业务系统迁移到云中。

  问：加快云计算落地，以安全等问题举例，哪些问题是必须要解决的，厂商、政府、用户等如何发挥好相应的作用？

  答：要加快云计算的落地，有些安全问题是必须解决的，比如云计算安全接入问题、用户数据安全、隐私问题以及云计算安全相关的法律法规问题。对于厂商来说，则需要帮助用户制定全面的云计算安全解决方案，并能够提供相应的能够运行在云计算环境中的安全产品供用户选择;对于政府，一方面则需要完善在云计算应用方面的立法问题，并作为公正第三方对云服务提供商进行风险评估和审计，为用户提供云计算安全方面的信心保障。对于用户，则需要充分认识到将业务迁移到云计算环境的优势和劣势，同时，也要认识到，云计算安全是云服务商和云用户共同实现，云服务提供商并不能保障所有的安全问题都被解决，需要双方共同努力，并相互信任，才能够做到真正的云计算安全。