向五個(gè)不同的人提出一個(gè)有關(guān)云安全的問(wèn)題，可能會(huì)得到五個(gè)不同的觀點(diǎn)。

云現(xiàn)象正在迅速地發(fā)展和變化，以至于安全等相關(guān)的規(guī)定很難跟上其發(fā)展。適用于的云的概念，如多租戶和統(tǒng)一用戶身份識(shí)別等，正在迫使安全廠商提供新的和更好的應(yīng)對(duì)措施。但是，當(dāng)他們準(zhǔn)備好的時(shí)候，云可能已經(jīng)產(chǎn)生了一套全新的安全挑戰(zhàn)。

標(biāo)準(zhǔn)也許是一個(gè)答案，也許不是一個(gè)答案，因?yàn)闃?biāo)準(zhǔn)有一個(gè)固定的時(shí)間以跟上或者預(yù)測(cè)快速發(fā)展的創(chuàng)新。因此，必須有一種方法對(duì)一些東西實(shí)施標(biāo)準(zhǔn)化以幫助不斷地提出有關(guān)云安全的關(guān)鍵概念的架構(gòu)和協(xié)議。

這正是非盈利組織云安全聯(lián)盟(Cloud Security Alliance)要做的事情。云安全聯(lián)盟創(chuàng)建于2009年，擁有2萬(wàn)個(gè)成員，經(jīng)常被當(dāng)作向云計(jì)算提供安全方面的主要聲音。正如云安全聯(lián)盟成員和Sallie Mae公司首席安全官杰里·阿切爾(Jerry Archer)解釋的那樣，這個(gè)組織并不想成為一個(gè)標(biāo)準(zhǔn)組織，而是尋求一些方法推廣最佳做法。這些最佳做法將是用戶、IT審計(jì)人員、云和安全解決方案提供商一致認(rèn)可的。

一個(gè)成果是云安全聯(lián)盟的GRC棧。這是一套工具，可幫助人們根據(jù)行業(yè)最佳做法、標(biāo)準(zhǔn)和重要的遵從法規(guī)的要求評(píng)估和指導(dǎo)云。同云安全聯(lián)盟制作的所有其它工具一樣，這個(gè)GRC棧免費(fèi)提供給這個(gè)組織的任成員下載(不過(guò)，企業(yè)贊助商提供費(fèi)用)。

阿切爾在接受《網(wǎng)絡(luò)世界》采訪中解釋了云安全聯(lián)盟的工作方式以及我們?nèi)绾文軌蚪鉀Q云中的安全問(wèn)題，他還解釋了云將如果改善我們的安全。

問(wèn)：向我們高水平地解釋一下云安全聯(lián)盟做什么?

阿切爾答：你可以把我們做的事情分為五個(gè)大的方面。1.我們正在制定戰(zhàn)略，特別是為圍繞你如何進(jìn)入云和你需要考慮什么事情。2.教育。幫助教育人們了解云安全問(wèn)題。3.我們正在圍繞審計(jì)和遵從法規(guī)建立最佳做法框架。我們正在把一些典型的SAS 70控制和其它審計(jì)體制轉(zhuǎn)變?yōu)橛糜谠频目蚣堋?.我們正在研究評(píng)估問(wèn)題，如果從評(píng)估安全的角度觀察云。5.我們?cè)谟^察未來(lái)是什么樣子。

問(wèn)：云安全聯(lián)盟如何確定研究什么項(xiàng)目?

答：云安全聯(lián)盟使用嚴(yán)格的組外包或者云外包。我們目前擁有2萬(wàn)個(gè)成員。任何成員都可以提出想法。你可以向這個(gè)組提出一個(gè)想法。如果你的想法有吸引力，人們將與你合作，然后你會(huì)得到批準(zhǔn)。

在開(kāi)始的時(shí)候，我們沒(méi)有研究資金?，F(xiàn)在，我們擁有資金，因?yàn)槲覀冇匈澲钠髽I(yè)并且還有人投資一些工作。但是，保證客觀性對(duì)于我們來(lái)說(shuō)是重要的。因此，這個(gè)委員會(huì)不斷地進(jìn)行檢查以保證沒(méi)有廠商超額認(rèn)購(gòu)，也就是為一個(gè)指定領(lǐng)域的研究提供過(guò)多的資金。我們不想虧欠任何一家公司。

問(wèn)：你們?cè)f(shuō)云安全聯(lián)盟不想制定任何類似于SAS 70或者PCI那樣的硬標(biāo)準(zhǔn)。為什么會(huì)這樣，你如何評(píng)價(jià)你們對(duì)云計(jì)算行業(yè)的貢獻(xiàn)?

答：我們認(rèn)為，行業(yè)標(biāo)準(zhǔn)應(yīng)該由ISO(國(guó)際標(biāo)準(zhǔn)組織)和其它善于制定標(biāo)準(zhǔn)的那些組織來(lái)制定。我們經(jīng)常與現(xiàn)有的標(biāo)準(zhǔn)組織合作以提供忠告和指導(dǎo)。但是，我們認(rèn)為，如果我們不與任何具體的標(biāo)準(zhǔn)捆綁在一起，我們會(huì)更靈活一些。我們與國(guó)際標(biāo)準(zhǔn)組織和國(guó)際電信聯(lián)盟有正式的聯(lián)盟關(guān)系。我們向他們提供研究成果和資源，幫助他們的工作。我們還與NIST(美國(guó)國(guó)家標(biāo)準(zhǔn)及技術(shù)研究所)合作。我們希望與其它標(biāo)準(zhǔn)組織建立合作關(guān)系。

問(wèn)：你認(rèn)為用戶要求云提供商詳細(xì)介紹有關(guān)他們的云安全措施的權(quán)利與云提供商處于安全考慮對(duì)這些細(xì)節(jié)保密的權(quán)利有什么沖突嗎?

答：提供商也許永遠(yuǎn)不想告訴任何人他們的防火墻是如果設(shè)置的以及類似的事情。另一方面，如果正確地傳遞，有大量的信息從遵從法規(guī)或者安全觀點(diǎn)看是非常有用的。

如果我們把事實(shí)與夸張的宣傳區(qū)別開(kāi)來(lái)，作為云的消費(fèi)者，我就會(huì)得到有關(guān)我的應(yīng)用今天在什么地方運(yùn)行以及如何運(yùn)行的足夠信息，并且完全不會(huì)影響你的安全。因此，向我提供我需要的這些信息，我就會(huì)信任我所在的環(huán)境。

事實(shí)上，從消費(fèi)者的方面看，事情會(huì)變得更加簡(jiǎn)單，因?yàn)閼?yīng)用程序會(huì)變得儀表化，你可以確定這些應(yīng)用程序是否處在正確的環(huán)境中。DARPA(美國(guó)國(guó)防部高級(jí)研究計(jì)劃局)已經(jīng)對(duì)多租戶環(huán)境進(jìn)行了大量的研究。他們研究了應(yīng)用程序的控制，讓?xiě)?yīng)用程序匯報(bào)它的環(huán)境的安全。#p#

問(wèn)：儀表化的應(yīng)用程序是如果工作的?

答：在一個(gè)簡(jiǎn)單的例子中，這個(gè)應(yīng)用程序知道它要去什么地方。這個(gè)應(yīng)用程序知道它將在什么計(jì)算機(jī)上運(yùn)行，它實(shí)際上將使用什么操作系統(tǒng)并且通過(guò)詢問(wèn)這些事情建立一個(gè)指紋，稱“我在正確的環(huán)境中，補(bǔ)丁水平是如何，等等”。

它可以是基于性能的，稱我知道我打算做這些事情。它可以測(cè)試這個(gè)代碼的合法性。如果答案不正確，那么，你知道你被騙了。

你可以做各種類型的事情以提供有關(guān)這個(gè)應(yīng)用程序正在運(yùn)行的環(huán)境的大量的知識(shí)。最終，那可能是你要去的地方。

問(wèn)：云安全聯(lián)盟對(duì)于云的未來(lái)能夠預(yù)測(cè)多遠(yuǎn)，你如何看這個(gè)問(wèn)題?

答：我們的大多數(shù)重點(diǎn)仍然是建立云計(jì)算的基本要素。但是，深思熟慮的領(lǐng)導(dǎo)者有助于影響建立這個(gè)基礎(chǔ)的戰(zhàn)術(shù)方面，因此這是可以轉(zhuǎn)移的。所以，我們不必把這個(gè)基礎(chǔ)分開(kāi)并且在每一次進(jìn)入到云的另一個(gè)周期的時(shí)候都重建這個(gè)基礎(chǔ)。

從未來(lái)的方面看，我認(rèn)為，任何人告訴你他們能夠預(yù)測(cè)兩年后的云的狀況，那是天真的。一切都在變化。我們不能預(yù)測(cè)所有這些變化的結(jié)果。云計(jì)算與從大型機(jī)過(guò)渡到分布式系統(tǒng)是不同的，云計(jì)算將改變有關(guān)計(jì)算的一切。

問(wèn)：我的問(wèn)題是，當(dāng)MIP成本幾乎為零和存儲(chǔ)成本幾乎為零的時(shí)候會(huì)發(fā)生什么事情?

答：每一個(gè)人都將使用云，并且安全將繼續(xù)發(fā)展。例如，完全同型的加密將讓我不必解密就能處理數(shù)據(jù)。在我能夠做全面同型加密的同時(shí)，我就可以把我的全部數(shù)據(jù)放在云中并且全面加密。這種方法取消了威脅模式，對(duì)嗎?

問(wèn)題是，要運(yùn)行全面的同型加密算法需要使用比我們目前擁有的處理能力還要多的處理能力。但是，穆?tīng)柖蛇_(dá)到那個(gè)水平只需要很短的時(shí)間。

問(wèn)：那么，云安全將能夠跟上云計(jì)算中的變化嗎?

答：是的。云中的安全將改善。應(yīng)用云的像Sallie Mae那樣的公司、金融公司和其它公司要求得到與他們現(xiàn)在擁有的安全水平相同的或者更好的安全水平。

對(duì)提供商提出的這種要求將轉(zhuǎn)變?yōu)樽屆恳粋€(gè)人都得到同樣的結(jié)果。因此，不能依靠自己的購(gòu)買(mǎi)足夠的安全措施的小企業(yè)將得到應(yīng)用云服務(wù)的大企業(yè)所得到的同樣好的安全產(chǎn)品。我們將有能夠有效地提供安全的大型提供商。云中的安全將得到改善。我們將來(lái)都會(huì)有更好的安全。