云現(xiàn)象正在迅速地發(fā)展和變化，以至于安全等相關(guān)的規(guī)定很難跟上其發(fā)展。適用于的云的概念，如多租戶和統(tǒng)一用戶身份識別等，正在迫使安全廠商提供新的和更好的應(yīng)對措施。但是，當(dāng)他們準(zhǔn)備好的時候，云可能已經(jīng)產(chǎn)生了一套全新的安全挑戰(zhàn)。 向五個不同的人提出一個有關(guān)云安全的問題，可能會得到五個不同的觀點(diǎn)。

云現(xiàn)象正在迅速地發(fā)展和變化，以至于安全等相關(guān)的規(guī)定很難跟上其發(fā)展。適用于的云的概念，如多租戶和統(tǒng)一用戶身份識別等，正在迫使安全廠商提供新的和更好的應(yīng)對措施。但是，當(dāng)他們準(zhǔn)備好的時候，云可能已經(jīng)產(chǎn)生了一套全新的安全挑戰(zhàn)。

標(biāo)準(zhǔn)也許是一個答案，也許不是一個答案，因?yàn)闃?biāo)準(zhǔn)有一個固定的時間以跟上或者預(yù)測快速發(fā)展的創(chuàng)新。因此，必須有一種方法對一些東西實(shí)施標(biāo)準(zhǔn)化以幫助不斷地提出有關(guān)云安全的關(guān)鍵概念的架構(gòu)和協(xié)議。

這正是非盈利組織云安全聯(lián)盟（Cloud Security Alliance）要做的事情。云安全聯(lián)盟創(chuàng)建于2009年，擁有2萬個成員，經(jīng)常被當(dāng)作向云計算提供安全方面的主要聲音。正如云安全聯(lián)盟成員和Sallie Mae公司首席安全官杰里·阿切爾（Jerry Archer）解釋的那樣，這個組織并不想成為一個標(biāo)準(zhǔn)組織，而是尋求一些方法推廣最佳做法。這些最佳做法將是用戶、IT審計人員、云和安全解決方案提供商一致認(rèn)可的。

一個成果是云安全聯(lián)盟的GRC棧。這是一套工具，可幫助人們根據(jù)行業(yè)最佳做法、標(biāo)準(zhǔn)和重要的遵從法規(guī)的要求評估和指導(dǎo)云。同云安全聯(lián)盟制作的所有其它工具一樣，這個GRC棧免費(fèi)提供給這個組織的任成員下載（不過，企業(yè)贊助商提供費(fèi)用）。

阿切爾在接受《網(wǎng)絡(luò)世界》采訪中解釋了云安全聯(lián)盟的工作方式以及我們?nèi)绾文軌蚪鉀Q云中的安全問題，他還解釋了云將如果改善我們的安全。

問：向我們高水平地解釋一下云安全聯(lián)盟做什么？

阿切爾答：你可以把我們做的事情分為五個大的方面。1.我們正在制定戰(zhàn)略，特別是為圍繞你如何進(jìn)入云和你需要考慮什么事情。2.教育。幫助教育人們了解云安全問題。3.我們正在圍繞審計和遵從法規(guī)建立最佳做法框架。我們正在把一些典型的SAS 70控制和其它審計體制轉(zhuǎn)變?yōu)橛糜谠频目蚣堋?.我們正在研究評估問題，如果從評估安全的角度觀察云。5.我們在觀察未來是什么樣子。

問：云安全聯(lián)盟如何確定研究什么項(xiàng)目？

答：云安全聯(lián)盟使用嚴(yán)格的組外包或者云外包。我們目前擁有2萬個成員。任何成員都可以提出想法。你可以向這個組提出一個想法。如果你的想法有吸引力，人們將與你合作，然后你會得到批準(zhǔn)。

在開始的時候，我們沒有研究資金?，F(xiàn)在，我們擁有資金，因?yàn)槲覀冇匈澲钠髽I(yè)并且還有人投資一些工作。但是，保證客觀性對于我們來說是重要的。因此，這個委員會不斷地進(jìn)行檢查以保證沒有廠商超額認(rèn)購，也就是為一個指定領(lǐng)域的研究提供過多的資金。我們不想虧欠任何一家公司。

問：你們曾說云安全聯(lián)盟不想制定任何類似于SAS 70或者PCI那樣的硬標(biāo)準(zhǔn)。為什么會這樣，你如何評價你們對云計算行業(yè)的貢獻(xiàn)？

答：我們認(rèn)為，行業(yè)標(biāo)準(zhǔn)應(yīng)該由ISO（國際標(biāo)準(zhǔn)組織）和其它善于制定標(biāo)準(zhǔn)的那些組織來制定。我們經(jīng)常與現(xiàn)有的標(biāo)準(zhǔn)組織合作以提供忠告和指導(dǎo)。但是，我們認(rèn)為，如果我們不與任何具體的標(biāo)準(zhǔn)捆綁在一起，我們會更靈活一些。我們與國際標(biāo)準(zhǔn)組織和國際電信聯(lián)盟有正式的聯(lián)盟關(guān)系。我們向他們提供研究成果和資源，幫助他們的工作。我們還與NIST（美國國家標(biāo)準(zhǔn)及技術(shù)研究所）合作。我們希望與其它標(biāo)準(zhǔn)組織建立合作關(guān)系。

問：你認(rèn)為用戶要求云提供商詳細(xì)介紹有關(guān)他們的云安全措施的權(quán)利與云提供商處于安全考慮對這些細(xì)節(jié)保密的權(quán)利有什么沖突嗎？

答：提供商也許永遠(yuǎn)不想告訴任何人他們的防火墻是如果設(shè)置的以及類似的事情。另一方面，如果正確地傳遞，有大量的信息從遵從法規(guī)或者安全觀點(diǎn)看是非常有用的。

如果我們把事實(shí)與夸張的宣傳區(qū)別開來，作為云的消費(fèi)者，我就會得到有關(guān)我的應(yīng)用今天在什么地方運(yùn)行以及如何運(yùn)行的足夠信息，并且完全不會影響你的安全。因此，向我提供我需要的這些信息，我就會信任我所在的環(huán)境。

事實(shí)上，從消費(fèi)者的方面看，事情會變得更加簡單，因?yàn)閼?yīng)用程序會變得儀表化，你可以確定這些應(yīng)用程序是否處在正確的環(huán)境中。DARPA（美國國防部高級研究計劃局）已經(jīng)對多租戶環(huán)境進(jìn)行了大量的研究。他們研究了應(yīng)用程序的控制，讓應(yīng)用程序匯報它的環(huán)境的安全。

問：儀表化的應(yīng)用程序是如果工作的？

答：在一個簡單的例子中，這個應(yīng)用程序知道它要去什么地方。這個應(yīng)用程序知道它將在什么計算機(jī)上運(yùn)行，它實(shí)際上將使用什么操作系統(tǒng)并且通過詢問這些事情建立一個指紋，稱“我在正確的環(huán)境中，補(bǔ)丁水平是如何，等等”。

它可以是基于性能的，稱我知道我打算做這些事情。它可以測試這個代碼的合法性。如果答案不正確，那么，你知道你被騙了。

你可以做各種類型的事情以提供有關(guān)這個應(yīng)用程序正在運(yùn)行的環(huán)境的大量的知識。最終，那可能是你要去的地方。

問：云安全聯(lián)盟對于云的未來能夠預(yù)測多遠(yuǎn)，你如何看這個問題？

答：我們的大多數(shù)重點(diǎn)仍然是建立云計算的基本要素。但是，深思熟慮的領(lǐng)導(dǎo)者有助于影響建立這個基礎(chǔ)的戰(zhàn)術(shù)方面，因此這是可以轉(zhuǎn)移的。所以，我們不必把這個基礎(chǔ)分開并且在每一次進(jìn)入到云的另一個周期的時候都重建這個基礎(chǔ)。

從未來的方面看，我認(rèn)為，任何人告訴你他們能夠預(yù)測兩年后的云的狀況，那是天真的。一切都在變化。我們不能預(yù)測所有這些變化的結(jié)果。云計算與從大型機(jī)過渡到分布式系統(tǒng)是不同的，云計算將改變有關(guān)計算的一切。

問：我的問題是，當(dāng)MIP成本幾乎為零和存儲成本幾乎為零的時候會發(fā)生什么事情？

答：每一個人都將使用云，并且安全將繼續(xù)發(fā)展。例如，完全同型的加密將讓我不必解密就能處理數(shù)據(jù)。在我能夠做全面同型加密的同時，我就可以把我的全部數(shù)據(jù)放在云中并且全面加密。這種方法取消了威脅模式，對嗎？

問題是，要運(yùn)行全面的同型加密算法需要使用比我們目前擁有的處理能力還要多的處理能力。但是，穆爾定律達(dá)到那個水平只需要很短的時間。

問：那么，云安全將能夠跟上云計算中的變化嗎？

答：是的。云中的安全將改善。應(yīng)用云的像Sallie Mae那樣的公司、金融公司和其它公司要求得到與他們現(xiàn)在擁有的安全水平相同的或者更好的安全水平。

對提供商提出的這種要求將轉(zhuǎn)變?yōu)樽屆恳粋€人都得到同樣的結(jié)果。因此，不能依靠自己的購買足夠的安全措施的小企業(yè)將得到應(yīng)用云服務(wù)的大企業(yè)所得到的同樣好的安全產(chǎn)品。我們將有能夠有效地提供安全的大型提供商。云中的安全將得到改善。我們將來都會有更好的安全。