在SearchCloudProvider.com兩部分Q&A的第二部分中,Savvis公司的CTOBryanDoerr概述根據(jù)Focus.com(一家服務(wù)對(duì)象為專業(yè)商務(wù)人士的社交網(wǎng)站)近期對(duì)其成員所做的一次調(diào)查結(jié)果顯示:有61%的企業(yè)表示,云計(jì)算安全問(wèn)題是他們對(duì)云計(jì)算應(yīng)用的最大關(guān)注點(diǎn)之一。而近四分之一的受訪者(23%)表示,他們并不對(duì)他們的云計(jì)算服務(wù)供應(yīng)商抱以任何信心,他們認(rèn)為供應(yīng)商們?nèi)狈Υ_保他們數(shù)據(jù)和應(yīng)用程序安全的能力。
Savvis公司的CTOBryanDoerr概述了供應(yīng)商們所面臨的云計(jì)算安全挑戰(zhàn),以及Savvis公司是如何在其Symphony云計(jì)算服務(wù)中逐一應(yīng)對(duì)這些挑戰(zhàn)的。本次訪問(wèn)的前半部分介紹了云計(jì)算供應(yīng)商們是如何與用戶一起討論云計(jì)算安全問(wèn)題的。
云計(jì)算服務(wù)是否需要一個(gè)不同于托管服務(wù)的安全措施?
BryanDoerr:一個(gè)安全云計(jì)算中眾多主要因素之一就是多租戶的概念。如果你需要一個(gè)多租戶的環(huán)境,那么你就應(yīng)該留意這些環(huán)境之間是如何實(shí)現(xiàn)隔離的。當(dāng)然,那也是我們專心關(guān)注的問(wèn)題。
另一個(gè)因素就是,本質(zhì)上虛擬環(huán)境更具移動(dòng)性。一個(gè)虛擬機(jī)可以在不同物理服務(wù)器之間進(jìn)行遷移。如果物理主機(jī)的安全策略不允許虛擬機(jī)的遷移,那么虛擬機(jī)在物理主機(jī)上就有可能無(wú)法正常運(yùn)行。在一定程度上來(lái)說(shuō),你的安全策略必須與潛在虛擬機(jī)基礎(chǔ)設(shè)施具有相同的動(dòng)態(tài)性。這些就是云計(jì)算產(chǎn)品在進(jìn)入市場(chǎng)前必須正確處理的相關(guān)事宜。
Savvis公司是如何讓其Symphony云計(jì)算解決方案環(huán)境成為一個(gè)安全云計(jì)算的?
Doerr:從一開(kāi)始安全問(wèn)題就是我們?cè)谠O(shè)計(jì)云計(jì)算時(shí)所關(guān)注的問(wèn)題。既然我們的目標(biāo)是企業(yè)市場(chǎng),既然我們的產(chǎn)品必須面對(duì)最為挑剔和最具辨別力的買(mǎi)家,我們都心知肚明我們必須通過(guò)安全測(cè)試。我們的管理基礎(chǔ)設(shè)施、我們的虛擬安全能力以及我們?cè)朴?jì)算產(chǎn)品中的功能都是為安全第一理念所驅(qū)動(dòng)的。
另外一個(gè)需要了解的重要理念是,并不是所有的云計(jì)算安全措施一定要駐留在云計(jì)算中。例如,你可以把安全措施留在云計(jì)算外。簡(jiǎn)單來(lái)說(shuō),你在云計(jì)算中獲得的服務(wù)可以是簡(jiǎn)單虛擬服務(wù)器、存儲(chǔ)設(shè)備和網(wǎng)絡(luò)設(shè)備,在某種程度上這不同于它們的物理實(shí)體。在物理實(shí)體的情況下,如果你向一個(gè)服務(wù)供應(yīng)商購(gòu)買(mǎi)了那些功能,那么服務(wù)供應(yīng)商就將經(jīng)常提供其他有助于增強(qiáng)托管環(huán)境安全性的安全服務(wù),如防火墻功能、入侵檢測(cè)功能、反DDoS功能。這些功能都不在云計(jì)算中,但都可應(yīng)用于你的物理托管環(huán)境中。當(dāng)你從Savvis公司購(gòu)買(mǎi)了云計(jì)算產(chǎn)品,那么這些相同的安全服務(wù)也可應(yīng)用于你的云計(jì)算解決方案。我經(jīng)常告訴客戶,他們并不應(yīng)只是過(guò)于關(guān)注于他們所將購(gòu)買(mǎi)的云計(jì)算技術(shù)或云計(jì)算功能,他們還應(yīng)該要注重于選擇提供云計(jì)算產(chǎn)品與服務(wù)的廠商,這是因?yàn)槿绻x對(duì)了服務(wù)供應(yīng)商,那么當(dāng)他們所需要的服務(wù)在云計(jì)算中不適用時(shí),在云計(jì)算外也可以適用。
例如,查看日志管理。作為安全方面最佳實(shí)踐的一方面,許多公司都需要記錄和審查某些服務(wù)器的運(yùn)行日志以確保登錄與訪問(wèn)的完整性。那么,Savvis公司所提供的日志管理服務(wù)不僅可以讓你連接你的專用管理服務(wù),而且還可以連接至你的云計(jì)算服務(wù)。這樣,你就可以同時(shí)滿足專用與云計(jì)算條件下的日志管理需求,當(dāng)然這只是一個(gè)例子。正如我所提到的那樣,服務(wù)器、負(fù)載平衡器、入侵檢測(cè)、反威脅措施,所有這些功能都可以添加到你的云計(jì)算服務(wù)中,其方便程度就如同你把這些功能添加到你的專用環(huán)境中一樣。當(dāng)客戶需要的并不僅僅是一個(gè)安全云計(jì)算時(shí),應(yīng)當(dāng)如何?你應(yīng)當(dāng)如何確保一個(gè)混合托管環(huán)境的安全性?
Doerr:那并不需要魔法,那只需要關(guān)注。這些混合托管環(huán)境就是未來(lái)環(huán)境的發(fā)展趨勢(shì)。最初,大多數(shù)被認(rèn)為是基于云計(jì)算的應(yīng)用程序都來(lái)源于私有數(shù)據(jù)中心中的專用環(huán)境。在很多、很多情況下,這些應(yīng)用程序都是混合解決方案中的最佳實(shí)現(xiàn)。你一定要通盤(pán)考慮過(guò)整個(gè)安全架構(gòu),與云計(jì)算部署相比,這是一個(gè)更大的挑戰(zhàn)。但當(dāng)你深入其中時(shí),只要服務(wù)供應(yīng)商擁有部署的能力,你就會(huì)看到熟悉的問(wèn)題、熟悉的解決方案。從安全的角度出發(fā),并沒(méi)有一個(gè)全新的技術(shù)流可滿足混合環(huán)境的需求。
在建立一個(gè)安全云計(jì)算時(shí),你對(duì)你的供應(yīng)商的依賴程度如何?之前,我們談及一個(gè)自助服務(wù)門(mén)戶網(wǎng)站如何有意想不到的安全需求。
Doerr:為了專門(mén)回答你的這個(gè)問(wèn)題,我們建立了我們自己的門(mén)戶網(wǎng)站。我們希望用戶在通過(guò)云計(jì)算服務(wù)和所有其他托管服務(wù)使用Savvis產(chǎn)品時(shí)擁有的使用體驗(yàn)就是我們公司一直以來(lái)要控制、宣揚(yáng)、傳播的價(jià)值主張,因此我們自行建立了所有相關(guān)的平臺(tái)。我們相信,這些創(chuàng)建角色和連接流程的客戶端接口是該使用體驗(yàn)的一部分,同時(shí)也為我們所擁有,因此我們不必等待任何人。
在技術(shù)方面,我們并不是技術(shù)制造商。我們不開(kāi)發(fā)防火墻軟件或路由器又或者是服務(wù)器,因此我們市場(chǎng)技術(shù)的消費(fèi)者。在這個(gè)意義上,一些問(wèn)題的答案、一些真正需要開(kāi)發(fā)可靠云計(jì)算解決方案的安全功能必須依賴我們的供應(yīng)商從技術(shù)上予以解決。
你是否發(fā)現(xiàn)了改進(jìn)的空間,以及廠商如何能夠使供應(yīng)商開(kāi)發(fā)安全云計(jì)算?
Doerr:今天,我們的云計(jì)算解決方案都是源于VMware公司、Cisco公司以被稱為Reflex系統(tǒng)公司(虛擬防火墻解決方案公司)的組合,這些公司都干得相當(dāng)不錯(cuò)。我們相信,這些公司正關(guān)注于正確的事情,正在為他們的產(chǎn)品新增功能以便于讓我們的用戶能夠開(kāi)發(fā)可靠的云計(jì)算解決方案。但是我會(huì)說(shuō),在最新一代功能問(wèn)世之前,這些產(chǎn)品和必要的功能都是不存在。當(dāng)時(shí),用戶其實(shí)也有很好的理由確保他們能夠從另外一個(gè)角度看待這個(gè)問(wèn)題,以理解某些設(shè)計(jì)如何實(shí)現(xiàn)良好的安全性。