RSA呼吁：确保云计算可信不只要承诺还要检验

不仅是通过主题演讲，在今天发布的题为“要检验不要承诺：建立可信云”的EMC愿景书（EMC Vision Paper）中，EMC也向传统的云思维发起了挑战。EMC坚信，云可以满足任何业务流程对信息安全、法规遵从和性能的要求，即使如PCI等最严格的要求也不例外。不过，要让云可信，必须能亲自检查和监控云的实际状况，而不能仅依据外部证明。惟有重新思考长久以来的信息安全理念，以创新方式运用现有技术，才能实现这样的可信云。

 

科维洛先生表示：“今天，企业利用云环境面临的首要信息安全挑战，是使云可控和可见，这也是EMC致力于解决的根本问题。承诺是指你‘能’实现云安全。承诺是指我们‘能’以不同于以往的方式，从根本上实现信息安全。‘检验’是指我们在利用虚拟技术时能做到可控和可见，实现云环境可信的这两个关键要素。”

 

过去几十年中，IT计算模式从大型机、客户-服务器转变到了Web。科维洛先生指出，与这些转变一样，虚拟化和云计算的根本目标也是实现安全性，即在可控、可管理的系统中，通过可信的基础架构，将恰当的信息提供给恰当的人。然而，跟之前的IT变革相比，科维洛断言，由于在信息、身份和基础架构这三个信息安全的核心变量发生了巨大的变数，如果不恰当地应对，可能导致可控性和可见性方面的挑战。

 

科维洛先生提到：“虚拟化是云中一线曙光，因为虚拟化使云能超越现实IT系统所能提供的受控度和可见度。通过将多个系统合并到单个平台上，企业获得了一个集中控制点，因而可管理并监控所有虚拟基础架构的组件。”

 

 

1.安全变得更逻辑和以信息为核心，定义逻辑的而非物理的边界，专注于保护敏感信息和交易而非基础架构。

2.内置到基础架构和应用中的安全性，同时安全管理控制达到非常高的自动化程度，要以云的速度和规模使信息安全和法规遵从发挥作用，这样的安全性是必不可少的。实现这样的安全性意味着，须将安全性置入虚拟化组件中，而且通过扩展，可将安全性分布到整个云中。

3.基于风险和自适应的安全性，有了这样的安全性，企业就可以减轻对静态规则和特征的依赖，转而通过实时数据分析预测安全风险，并主动做出调整。

 

科维洛先生***说道：“通过这三条途径，我们能达到更高的可控性和可见性水平，从而产生关键证据，如果你想建立信任，那么依据这种证据就可以了。企业能***时间检查和认证各种情况是可信云的***标准。这是一个基于证明而非承诺的标准。”

 

Vmware联合总裁兼***发展官Richard McAniff与科维洛同台演讲，展示了在VMware虚拟基础架构中嵌入安全控制，实现安全、可信云的几个核心概念。例如，McAniff展示出，结合 VMware vShield™ 技术和RSA® 防数据丢失(DLP)解决方案，可以在虚拟基础架构层自动实现信息的分类、发现、安全策略升级。

 

McAniff说，“这对企业意味着，采取以信息为核心的途径，在他们的基础架构中建立安全区。设想一下，你的基础架构可以告诉你：‘建议这里是PCI、PII、PHI的区域’这真正是很智能的基础架构。这个例子说明了我们与RSA协作的关键点，即将安全控制嵌入到虚拟基础架构，自动管理，帮助企业简化安全、可信云的建立和运营。”

 

•RSA创立云可信权威（Cloud Trust Authority），加速云计算应用：RSA宣布推出RSA云可信权威。这是一套基于云的服务，它有利于促进企业和云服务商的信息安全和法规遵从关系。云可信权威服务能够使身份、信息和基础架构既具有可见性，又可以控制，帮助企业建立必要的可信，以利用云计算运行关键业务应用、处理敏感信息。

 

•RSA发布业界***端到端信息安全事件管理解决方案：RSA今天发布RSA™ 信息安全事件管理解决方案，这是业界首款自动化的方案，帮助***信息安全官们可视化、统筹优先处理日益增长的信息安全威胁，同时***限度减少耗时的人工调查流程。这一新方案旨在使安全分析员专注于最有可能影响业务目标的信息安全风险，用更完备的信息管理这些事件的解决。

            

题为《要检验而不是承诺：建立可信云》的“EMC愿景书”，由以下高管共同撰写：EMC公司信息基础架构产品部总裁兼***运营官Pat Gelsinger、EMC公司信息基础架构与云服务部总裁兼***运营官Howard D. Elias、EMC公司执行副总裁兼EMC公司信息安全事业部RSA的董事会执行主席Arthur W. Coviello Jr.和VMware公司***开发官兼总裁办公室成员Richard McAniff。

 

有关2011 RSA大会更多的报道，请参看51CTO专题报道：http://netsecurity.51cto.com/secu/RSA2011/