本文原文为英文What’s Important in Cloud Security? 作者于6月7日发表在EMC Community Network (EMC社区网络,见: https://community.emc.com/community/labs/blog/2010/06/07/whats-important-in-cloud-security)
 
我在上月发表一文“如何在XaaS上有所不为?”中认为云计算服务中有两个非常重要的成员:即“安全作为自助服务”(Security as Self-Service)和“安全作为公共服务”(Security as a Public Service),而且这两种服务不必像其他各种服务那样推销给云用户去使用。
 
“本地平台证明”就是一个“安全作为自助服务”的典型例子。云服务提供商应在其数据中心里自行消费这种自助服务。例如,那些使用可信计算组织(TCG, http://www.trustedcomputinggroup.org)平台证明技术的云服务提供商可以定期经常验证检查自家服务器平台上运行的软件环境是否处于良好的状态,未受各种***。这样做,云服务商就会对自己所提供的信息处理服务在安全上有更强的信心,从而敢于在服务水平协议(SLA)里向用户提供与承诺较高等级的服务保障条款。众所周知目前由于用户普遍对云服务商在安全方面缺乏信任,这一疑虑已经极大地阻止了广大用户接受云计算。如果一个云服务提供商能使用“安全作为自助服务”,那么较强的服务保证与承诺将有助于缓解这样的怀疑并吸引广大用户来接受云计算。
 
“安全作为自助服务”可以使云服务提供商能够自信地在SLA中承诺强等级的服务条款。如果我们说这是云计算安全的必要条件,则这种自助服务一定不能成为云安全的充分条件。类似于公司管理的情形,来自内部的自我监控管理是必要的,但不充分,还需要补上来自外部的强制监控管理。在云计算中我们也需要“安全作为公共服务”以补充“安全作为自助服务”。一个运行“安全作为公共服务”的实体,其利益必须独立于云服务提供商之利益。回顾历史或许会有助于解释这一需求。著名的RSA安全公司于1982年创立,专门从事发掘公钥加密与数字签名技术的商业应用潜能。初创时RSA公司的主线产品是商用公钥加密与数字签名的信息安全软件。我们都知道常规公钥的使用必须配备一个PKI公钥认证服务系统,向用户认证一把公钥与其拥有者之间的一一对应关系。自从成立起直到以后的十几年中RSA公司都在自行提供公钥认证服务,成为一个事实上的行业公钥认证机构。直到1995年以前,RSA公司都没有认识到下面这个问题居然会是一个问题:身为一个公钥加密软件的提供商和身为一个公钥认证服务的权威机构,一身兼任这两个角色其实存在着利益冲突:前者是要追求私营商业上的利益,而后者是要确保一种公共责任。因此在1995年RSA公司分离出公司的一部分,组成了一个独立公司专门经营PKI认证服务。这个独立公司发展成现在工业界众有名的VeriSign公司,是专门颁发PKI根证书的工业根(The Industry Root Certificates, 该公司还拥有 .com 与 .net 的顶级域名服务器)。
 
同理在云安全中,我们也需要一个独立并且能保障公共利益的权威机构来提供“安全作为公共服务”。这样的权威机构可以对云计算用户提供很有用的安全服务。比如,它可以通过用审计的方法来强制一个云服务提供商采用技术手段实施“安全作为自助服务”。该权威机构为且仅为那些通过了云安全方审计的云服务供应商颁发认证证书。如此,云用户就可以从权威机构颁发的证书判断出他们的确被介绍给了一个信誉良好的云服务供应商。
 
“安全作为自助服务”和“安全作为公共服务”,以自我监控管理和强制监控管理相结合的方式互为动因,这是实现云计算安全不可缺少的要素。