谷歌分析師稱，谷歌拒絕透露是否會(huì)對(duì)其他應(yīng)用增加安全加密措施，這讓客戶很受傷。

[[111055]]

谷歌最近宣揚(yáng)現(xiàn)在Gmail信息在數(shù)據(jù)中心之間傳輸?shù)臅r(shí)候，會(huì)做加密處理，這一額外的安全措施目的是挫敗意圖竊取信息的政府和不法分子，但是谷歌沒(méi)有表明是否將這一措施貫徹到所有應(yīng)用上。

而谷歌也拒絕對(duì)此予以評(píng)論。“我們不便分享Gmail以外的其他信息，但是我們一直在加強(qiáng)和加密更多服務(wù)和數(shù)據(jù)連接。”一位谷歌新聞發(fā)言人在郵件中說(shuō)。

分析師稱，谷歌不希望明確自己內(nèi)部加密的范圍，而這對(duì)于依賴其應(yīng)用套件進(jìn)行工作聯(lián)系，云存儲(chǔ)和協(xié)作的企業(yè)客戶而言肯定不方便。

“在面對(duì)被破壞的證據(jù)，且被質(zhì)疑破壞是怎樣發(fā)生的以及破壞者都干了些什么時(shí)，谷歌采取了回避的態(tài)度。不存在信任基礎(chǔ)，”Gartner分析師Jay Heiser說(shuō)。

事情還得從去年說(shuō)起，去年斯諾登披露了NSA通過(guò)攔截?cái)?shù)據(jù)互聯(lián)網(wǎng)公司在服務(wù)器和數(shù)據(jù)中心之間未加密的純文本信息，對(duì)在線服務(wù)用戶進(jìn)行監(jiān)聽(tīng)。

去年九月，谷歌官方告訴《華盛頓郵報(bào)》，稱該公司正加速對(duì)數(shù)據(jù)中心之間的數(shù)據(jù)做加密處理。

“這是一場(chǎng)競(jìng)備賽，”谷歌安全工程副總Eric Grosse稱。

大約兩周前，谷歌宣布為Gmail開(kāi)啟“內(nèi)部”加密，但是卻不說(shuō)是否，以及何時(shí)會(huì)把這種加密措施延伸到其他服務(wù)和應(yīng)用上。

“你發(fā)送的或接收的每個(gè)單獨(dú)Email信息都會(huì)在傳輸過(guò)程中被加密。這確保了你所發(fā)信息的安全，而且不僅僅是在你和Gmail服務(wù)器之間傳輸時(shí)的安全，還包括在谷歌各個(gè)數(shù)據(jù)中心之間傳輸時(shí)的安全——這是去年去年夏天斯諾登爆料事件之后，我們列為頭等重要的事情。”谷歌的博文如是說(shuō)。

去年九月谷歌對(duì)《華盛頓郵報(bào)》稱，端到端的內(nèi)部加密項(xiàng)目將盡快完成。而谷歌新聞發(fā)言人沒(méi)有給出更新的消息。該新聞發(fā)言人還拒絕透露Gmail新增加密措施的具體時(shí)間，而只是承認(rèn)這一消息***在3月20號(hào)的博客中發(fā)不過(guò)。

這就是為什么企業(yè)云服務(wù)購(gòu)買者需要從廠商那里獲得更多透明度的典型案例，Heiser透露。“沒(méi)有人希望自己的數(shù)據(jù)輕易被監(jiān)控，而且谷歌以外也沒(méi)有人知道如何才可以確定傳輸漏洞已被修復(fù)，”他說(shuō)。

“在不知道谷歌服務(wù)器之間數(shù)據(jù)傳輸方式的情況下，沒(méi)有人知道是否存在威脅。我們現(xiàn)在都知道這種傳輸過(guò)程存在漏洞，但是如果沒(méi)有細(xì)節(jié)信息的支持，谷歌給出的模糊承諾并不能作為漏洞已被修復(fù)的可靠證據(jù)，”他補(bǔ)充道。

谷歌的模糊回應(yīng)暗示該公司可能并未完成它去年九月提及的Grosse，而客戶應(yīng)該留意這一點(diǎn)，Heiser說(shuō)。

“這個(gè)例子表明，谷歌的規(guī)模和復(fù)雜性應(yīng)該成為用戶質(zhì)疑的點(diǎn)。其搜索引擎和廣告業(yè)務(wù)的數(shù)據(jù)流或基礎(chǔ)設(shè)施是限制谷歌為信息傳輸部署加密措施的因素嗎?”Heiser說(shuō)。

另一名Gartner分析師Peter Firstbrook也不能接受谷歌的模糊態(tài)度。

“如往常一樣，谷歌并沒(méi)有給出實(shí)質(zhì)的信息，”他在郵件中寫道，并提到了上文所述的3月20號(hào)的博文。“這又是在告訴人們‘相信我們，我們?cè)谧稣_的事情’。但并沒(méi)有給出明確解釋。新的加密機(jī)制中可能存在薄弱環(huán)節(jié)。但我們不得而知。”

SaaS產(chǎn)品購(gòu)買者的教訓(xùn)很明顯，Heiser透露：需求很明確，廠商對(duì)其安全產(chǎn)品和策略的粒度化解釋。

“‘我們有以下特性’這種話并不能幫助SaaS購(gòu)買者完全了解某個(gè)特定產(chǎn)品到底什么地方存在不必要的漏洞，如果你不把技術(shù)上的完整信息和服務(wù)的拓?fù)浣Y(jié)構(gòu)告訴購(gòu)買者，”他說(shuō)。“SaaS就是如同熱狗腸一般，內(nèi)里的肉或許無(wú)害，但如果不知道所有配料，你就無(wú)法完全了解它對(duì)健康的危害。”