谷歌分析師稱，谷歌拒絕透露是否會對其他應(yīng)用增加安全加密措施，這讓客戶很受傷。

[[111055]]

谷歌最近宣揚(yáng)現(xiàn)在Gmail信息在數(shù)據(jù)中心之間傳輸?shù)臅r候，會做加密處理，這一額外的安全措施目的是挫敗意圖竊取信息的政府和不法分子，但是谷歌沒有表明是否將這一措施貫徹到所有應(yīng)用上。

而谷歌也拒絕對此予以評論。“我們不便分享Gmail以外的其他信息，但是我們一直在加強(qiáng)和加密更多服務(wù)和數(shù)據(jù)連接。”一位谷歌新聞發(fā)言人在郵件中說。

分析師稱，谷歌不希望明確自己內(nèi)部加密的范圍，而這對于依賴其應(yīng)用套件進(jìn)行工作聯(lián)系，云存儲和協(xié)作的企業(yè)客戶而言肯定不方便。

“在面對被破壞的證據(jù)，且被質(zhì)疑破壞是怎樣發(fā)生的以及破壞者都干了些什么時，谷歌采取了回避的態(tài)度。不存在信任基礎(chǔ)，”Gartner分析師Jay Heiser說。

事情還得從去年說起，去年斯諾登披露了NSA通過攔截?cái)?shù)據(jù)互聯(lián)網(wǎng)公司在服務(wù)器和數(shù)據(jù)中心之間未加密的純文本信息，對在線服務(wù)用戶進(jìn)行監(jiān)聽。

去年九月，谷歌官方告訴《華盛頓郵報(bào)》，稱該公司正加速對數(shù)據(jù)中心之間的數(shù)據(jù)做加密處理。

“這是一場競備賽，”谷歌安全工程副總Eric Grosse稱。

大約兩周前，谷歌宣布為Gmail開啟“內(nèi)部”加密，但是卻不說是否，以及何時會把這種加密措施延伸到其他服務(wù)和應(yīng)用上。

“你發(fā)送的或接收的每個單獨(dú)Email信息都會在傳輸過程中被加密。這確保了你所發(fā)信息的安全，而且不僅僅是在你和Gmail服務(wù)器之間傳輸時的安全，還包括在谷歌各個數(shù)據(jù)中心之間傳輸時的安全——這是去年去年夏天斯諾登爆料事件之后，我們列為頭等重要的事情。”谷歌的博文如是說。

去年九月谷歌對《華盛頓郵報(bào)》稱，端到端的內(nèi)部加密項(xiàng)目將盡快完成。而谷歌新聞發(fā)言人沒有給出更新的消息。該新聞發(fā)言人還拒絕透露Gmail新增加密措施的具體時間，而只是承認(rèn)這一消息***在3月20號的博客中發(fā)不過。

這就是為什么企業(yè)云服務(wù)購買者需要從廠商那里獲得更多透明度的典型案例，Heiser透露。“沒有人希望自己的數(shù)據(jù)輕易被監(jiān)控，而且谷歌以外也沒有人知道如何才可以確定傳輸漏洞已被修復(fù)，”他說。

“在不知道谷歌服務(wù)器之間數(shù)據(jù)傳輸方式的情況下，沒有人知道是否存在威脅。我們現(xiàn)在都知道這種傳輸過程存在漏洞，但是如果沒有細(xì)節(jié)信息的支持，谷歌給出的模糊承諾并不能作為漏洞已被修復(fù)的可靠證據(jù)，”他補(bǔ)充道。

谷歌的模糊回應(yīng)暗示該公司可能并未完成它去年九月提及的Grosse，而客戶應(yīng)該留意這一點(diǎn)，Heiser說。

“這個例子表明，谷歌的規(guī)模和復(fù)雜性應(yīng)該成為用戶質(zhì)疑的點(diǎn)。其搜索引擎和廣告業(yè)務(wù)的數(shù)據(jù)流或基礎(chǔ)設(shè)施是限制谷歌為信息傳輸部署加密措施的因素嗎?”Heiser說。

另一名Gartner分析師Peter Firstbrook也不能接受谷歌的模糊態(tài)度。

“如往常一樣，谷歌并沒有給出實(shí)質(zhì)的信息，”他在郵件中寫道，并提到了上文所述的3月20號的博文。“這又是在告訴人們‘相信我們，我們在做正確的事情’。但并沒有給出明確解釋。新的加密機(jī)制中可能存在薄弱環(huán)節(jié)。但我們不得而知。”

SaaS產(chǎn)品購買者的教訓(xùn)很明顯，Heiser透露：需求很明確，廠商對其安全產(chǎn)品和策略的粒度化解釋。

“‘我們有以下特性’這種話并不能幫助SaaS購買者完全了解某個特定產(chǎn)品到底什么地方存在不必要的漏洞，如果你不把技術(shù)上的完整信息和服務(wù)的拓?fù)浣Y(jié)構(gòu)告訴購買者，”他說。“SaaS就是如同熱狗腸一般，內(nèi)里的肉或許無害，但如果不知道所有配料，你就無法完全了解它對健康的危害。”