RSA大會主角 雲安全

在2009年RSA大會上，雲計算的安全是許多廠家和學者們焦慮和讨論的話題，對雲計算的樂觀與對雲安全的悲觀形成了鮮明的反差。“沼澤計算”-----RSA創始人RonaldRivest的一句話，深刻地反映了這種情緒。應該說，資訊安全界還沒有做準備，來認識、參與和幫助雲計算的發展，甚至連雲計算下安全保護的基本架構都提不出來。

然而在2010年RSA大會上，雲安全成為了當之無愧的明星。無論是RSA總裁ArtCoviello的開幕式演講，還是CA、Qualys等廠家的主題發言，無不表現出為雲計算保駕護航的堅定決心。參展的衆多廠商更是百花齊放，基本上如果你不能為雲計算做點什麼，你都不好意思跟别人打招呼。這裡面雖然有許多舊瓶裝新酒的噱頭，但也有很多産品和技術，深入研究雲計算模式，表現出許多搶眼的亮點。

一、身份與權限控制

大多數使用者對于雲計算缺乏信心的原因首先是因為對于雲模式下的使用權限和管理權限有顧慮。在虛拟的、複雜的環境下，如何保證自己的應用、資料依然清晰可控，這既是使用者的問題，也是雲服務提供商的問題，而這一點也是資訊安全界看得比較清楚的。是以，身份與權限控制解決方案成為本次RSA大會的重頭戲。

據了解，RSA公司帶來了全套的認證管了解決方案，除傳統的認證産品外，還特别展示了針對WEB通路的認證産品，以及針對虛拟化環境的解決方案，并且強化了對GRC(公司治理、風險管理及合規審查)的支撐。此外，端到端的控制、雙因素認證、針對應用和資料庫的認證等方面也湧現出了很多新産品。

從本次大會看，認證控制方面的解決方案已經能夠基本覆寫全部業務流程和大多數業務方向，而簡化認證管理、強化端到端的可信接入方面将會是下一階段發展的方向之一。

二、WEB安全防護

雲計算模式中，WEB應用是使用者最直覺的體驗視窗，也是唯一的應用接口。而近幾年風起雲湧的各種WEB攻擊手段，則直接影響到雲計算的順利發展。

在本次大會上，衆多廠家把目光聚焦到WEB防護方面。幾乎所有的國内外網絡安全企業，都将安全網關的發展方向轉到UTM等綜合防護網關方面，單純的防火牆(包括防火牆這個名詞)已經基本見不到了。這應該是正式宣告了單一功能的防火牆時代的結束，綜合防護的UTM時代來臨了。據調查，參展廠商大多提出了端到端的解決方案，即安全網關不僅能夠解決網關級的防護，同時能夠兼顧部分終端的安全問題以及端到端的安全審計。

此外，針對目前幾種典型的雲計算模式，部分廠商采取了細化應用安全防護的手段，針對不同的應用，提供專業級的網關安全産品。如專業UTM廠商Fortinet釋出了分别針對郵件、資料庫、WEB等應用的UTM産品。

三、虛拟化的安全

虛拟化是作為雲計算最重要的技術支援之一，也是雲計算的标志之一。然後，虛拟化的結果，卻使許多傳統的安全防護手段失效。虛拟化的計算，使得應用程序間的互相影響更加難以捉摸;虛拟化的存儲，使得資料的隔離與清除變得難以衡量;虛拟化的網絡結構，使得傳統的分域防護變得難以實作;虛拟化的服務提供模式，使得對使用者身份、權限和行為的鑒别、控制與審計變得極其重要。

本次RSA大會上，我們看到了一些有益的嘗試。

CISCO公司提出無邊界網絡架構，力圖通過将終端管理、安全通路、WEB防護三者融合，提供端到端的防護控制措施，以解決雲模式下傳統分級分域防護架構失效的問題;EMC作為虛拟化最大的受益者，在他的全部産品線上，都加入了對虛拟化的支援，包括認證、資料安全等方面。

此外，不少廠家也提出針對虛拟化環境下的資料存儲、DLP(資料防洩露)解決方案，幫助使用者控制他們的資料。

四、安全的虛拟化

為了适應XaaS的業務模式，除了應用、存儲等能力需要虛拟化外，衆多廠家也強化了自身安全産品的虛拟化能力，以适應雲計算的特點。虛拟裝置、虛拟網關等技術手段被大量使用。

如：國内安全廠商聯想網禦帶來的KingGuardUTM-9202，采用Netlogic的多核晶片，提供超過1024個虛拟UTM，最大可提供20G的處理帶寬，是一款專門針對大中型企業和IDC的高成本效益産品。而NeoAccel的SSLVPN産品，則可以直接在VMware等虛拟環境下運作。

五、因為雲，是以安全

本次大會中，最具特色的是，一些企業獨辟隙徑，借助雲計算的模式和計算能力，發展出獨特的雲安全防護技術，利用雲中幾乎無限的計算能力和資訊節點，轉而共同為雲的安全作貢獻。如趨勢科技的雲安全防病毒技術，Cisco的雲防火牆，聯想網禦的雲防禦，都是利用雲中廣泛的資訊回報節點，大範圍地跟蹤安全風險，并将防護能力快速分發到各個防護節點。

縱觀本次RSA大會，安全廠商紛紛利用已有的技術，通過改良、改造、內建、融合，提出面向雲計算，特别是偏向使用者側的安全解決方案，基本上建立起了一條從使用者到服務商的安全應用傳遞通道。然而對于雲的建設者和營運者，則還有更多的路要走。特别是對于國内私有雲建設者需要特别關注的資料隔離與管理問題，目前為止還沒有看到符合國内安全規範的解決方案。不過，雲計算已經上路了，不管路上有什麼坎坷，雲安全，我們已經在跑線上了!