云安全联盟创始人Jim Reavis：云计算的价值被低估

2011-05-20 13:33 | 990次阅读 | 【已有0条评论】发表评论

CSDN 云计算频道 | 作者：高松 | 收藏到我的网摘

2011年最受瞩目的IT业界盛会——第三届中国云计算大会于2011年5月18-20日在北京国家会议中心隆重举行。本次大会由中国电子学会主 办，中国电子学会云计算专家委员会、中国云计算技术与产业联盟承办，CSDN网站、《程序员》杂志和电子工业出版社协办。此次大会规模空前、群英荟萃、主 题丰富、突出实战并汇集全球视角。

在20日下午举行的大会主题演讲中，云安全联盟（CSA）共同创始人兼执行理事长Jim Reavis发表演讲“建构受信任的云”，他谈到云计算未来的需要解决的关键问题包括，云的快速演进，全球法律政策的差异，公/私有云的非标准，安全事故响应不及时等。Jim Reavis谈到云计算短期内的确过热了，但长期内是被低估的。并且介绍了SaaS（Security as a Service），启发现场观众想象云计算2.0是什么样子。

云安全联盟创始人Jim Reavis：长期来说，云计算的价值被低估

以下是演讲实录：

Jim Reavis：非常感谢中国电子学会，也感谢我们的主办方使得这次论坛成为可能。确实云计算是我们未来一个非常重要的部分，我们在跟这些首席执行官沟通的时候我们会听到他们遇到的最大问题就是安全问题。我认为云计算不光是最重要的一个趋势，它正在改变我们的信息技术，同时它将会影响所有的行业，而且这种影响会越来越大。不管是汽车行业还是医疗、银行，需要IT投资是巨大的。这对我们来讲也是一个很大的障碍。这样的话我们通过云就能解决这些问题。

当然我们通过云应用的时候还是有一些障碍，我们能够做什么呢？我们只会去用我们的IT。如果一个人他有了一个改变世界的理念，能够控制所有的资源和大的数据中心，可能并不知道它会带来什么样的影响，但是我们知道这个影响会非常地巨大。信息技术它带来的影响只是最小的，而整个世界都会为之而改变。但有一点是积极的，透过这次云计算大会你们已经听到很多信息，所以我不会再去讲重复的话题。

我会从云安全联盟的角度看一下，我们对安全的定义，详细讲一下我们对安全的策略。我觉得非常重要的要去考虑一下，其实我们谈的计算它只是一个使用的工具，水电是怎么最终实现它们的效率，也是非常复杂的过程，也是使用效率提升的关键点所在。我们最终需要创造一个集中式的计算储存，将我们的成本降到最低，实现规模效应。

所以非常重要的要理解以服务为中心的架构，如何构建应用程序，其实它是一个动态的过程，它是把计算机源合并在一起。把各个不同供应商的能力和资源整合在一起，这才是非常重要的，到底未来这个云计算的方向是什么的？我们认为它是一个提供基础的服务设施，然后不断的去跟进和跟踪能源的成本。通过定义，我们知道有私有云，社区云，公有云，我们将会看到越来越多类型混合的云。

更重要的一点是我们必须要去考虑和设计，从长远来讲这些数学，还有经济的因素，如果我们不把信息放到公共云上是不可能的。从效率的来讲，我们看不同的应用程序，应用的系统，我们是越来越重视这一点，尤其在公有云当中。

我相信公有云它有独特的优势是私有云无法复制的。所以我们需要有能力将新的软件应用系统很迅速的放到公有云当中。时间成本其实才是最重要，我们必须要去考虑。不是说你们能节省多少IT的预算，而是说到底你有多快你才能把新的软件推出来支持新的理念新的想法。如果你和软件公司的CEO沟通就会发现他们非常重视要转向云计算，而不只是针对这个软件。对于管理软件部署的这些支持，如果你的软件有一个版本是统一的，会提升很大的效率。

这张图是信息安全经理的恶梦，我们现在遇到一个困境，很糟糕的情况，这些应用程序都是分散的，在我们私有云和公有云之间非常分散。现在我们有了这些移动性，比如智能手机，Ipad，用户遍布世界各地，我们要把公司设备上的资源部署到个人资源上，现在应用程序、数据、设备都非常分散，从信息安全管理对他们是一个很大的挑战。我们必须要去考虑到底我们机构的信息参数有哪些。这些主要的问题有哪些呢？云把拥有数据的人以及负责云客户的人，还有处理数据的云把他们分开了，我们不能确认这个数据中心在哪。云所运作的方式可能是一种转变非常迅速的，我们需要把所有的物理信息安全控制变成虚拟的安全控制，因为我们不知道我们的信息在哪里，我们也不能确认人们只是用公司的计算机访问这一点。我们怎么使用这一点呢，我相信数据管理将会起到非常重要的种类。

在虚拟管理中还有一种非常松散的管理，但是我们怎么能够确定通过云的管理让安全更好呢。有一些信任的问题，日常工作当中遇到哪些信任危机呢。云的供应商是透明的，他们告诉客户我们怎么做系统的，我们怎么将这个信息删除，我们怎么知道员工是值得信任的。客户需要知道他们应该是符合哪些法律法规，因为法律法规都是很复杂。我已经告诉你们了，甚至是供应商他们设计这个云的人，他们也不能信息到底储存在哪个地方。还有很多关心的问题，如果我们转向云计算有可能很快就被淘汰，还是等到最新技术来的时候我再参与。很多时候我们作为一个IT人，每个人都去追逐云的时候，它就会变得非常恐惧。

    明天我们遇到的最大问题是什么呢？当前的系统转变的非常快，两三年之后或许云和今天的云是完全不一样了。如果让云计算真正起作用，它必须要成为一个全球的服务设施，我们现在有很多的问题，我们在全球不同的国家有不同的政策和法规，不同的行业也有不同的法律法规。现在遇到了很多问题，我们也非常担心这些标准到底将来的方向如何，是不是我们不同的私有云都可以相互相应，还是最终都要成为公有云，都要汇集到一个地方。这种计算是时时的，这种审计如果每年做的话是不足够的。我们还会看到身份认证和管理，它已经超越了用户，在每一个计算机上，每一个应用程序上都需要身份认证。

    云计算发展非常迅速，我们信息安全也需要移动的非常迅速才能跟上它的步伐。我们必须作出积极的相应。云安全联盟在这方面做了很多工作，我们根据我们的观点提出自己的解决方案，我们是一个全球的协会，我们有超过两千个成员，其中有几百个是企业成员，我们在中国也有自己的办公室，我们想要采取一个广泛的合作方式建立起云的群体。我们怎么来做呢？不是传统的标准制订机构，我们更像一个社会网络。我们专注的是身份认证，使用的标准，我们想要培训人们让他们知道法律法规，还有很多教育培训的工作要去。我们怎么建立起一个受信的云呢，我刚才讲了战略培训安全框架，我们怎么估算这个世界，我们怎么预测未来。它并不是一个全面的策略。它采用云的策略，有的是来自我们的观点，我们的研究。从架构的角度来讲，一个混合的企业它需要管理一些复杂的问题，当然最重要的问题需要解决的就是身份认证，你们的身份认证管理了你们的企业，必须能够兼容成百上千个软件和应用系统。如果你不能做到这一点，云计算的经济性就无法实现。

    我们允许这些云计算的供应商能够相互竞争，我们架构一个理念，就是以云为中心的架构，这是非常重要的理念。就是说我们把这些专有的组建给它隔离开来，专有知识产权的组建必须把它隔离开来，从商业战略角度来讲，任何新的IT方案，任何新的业务需求我们都要问自己，是不是有云的机会所在，是不是我们在云当中有这样的功能，是不是我们需要这样的功能。

    风险管理也是非常重要的一个部分，我们需要分析一下，到底我们公司的风险承受能力是什么样的，我们有什么设施，有什么样的风险数据，到底我们的云供应商是不是能够满足风险工作的要求，保护我们的数据等等。所以培训也是非常重要的，我们发现虽然现在有很多市场推广，但是大家对很多问题还是缺乏了解，我们制订了一个白皮书是个指南，已经翻译成中文，覆盖了13个领域，包括公司治理，还有操作层面的问题。

    比如你的服务协议，你的合同这是非常重要的起点，你需要去了解，你 需要什么样的系统，信息的生命周期管理，还有数据管理是我们非常关注的话题。我们知道在云当中怎么来配置数据，如果你想要删除云当中的数据，怎么删除呢，删除什么数据呢？这是非常重要的知识必须学会。对任何云的服务，我们怎么来实现这个服务，一个供应商怎么把你的服务加密，最终让你的用户解密使用，这是非常重要的。我们也是制订了很多白皮书，身份认证是非常重要的，有一些标准也有一些标本，大家可以去采纳借鉴。这些不同的指南帮助我们了解不同的云供应商给我们提供的云有什么样的区别，怎么去使用他们的服务。

    还有一个就是安全控制系统，我们开发了一个云控制矩阵，它有很多的控制，我们通过这些大家熟悉的信息安全管理系统作为一个基础，然后它是一个免费的矩阵工具，大家把它下载下来使用，把你们熟悉的控制转化成云控制。

    安全评估是很重要的一方面，它在审计过程当中以及在谈判过程当中都很重要，我们想要提出的就是如果你做的是基础设施及服务的话，那么你的责任就是要进行这些安全措施，如果你购买的是软件级服务，那么就是供应商的责任，而你的责任主要是进行审计，也就是说对供应商进行监督。我们另外还有一个两种工具，有一种是叫做共识协议，有一百多个问题，你可以把这些问题提供云供应商，有很多大公司都在用，很多提供云计算的公司都要回答这样的问题，他们已经很熟悉这样的问题了。他的理念就是我们一次性把这些问题都回答了，不要一次又一次回答。如果你是供应商我建议你把它下载起来，然后你可以回答客户的问题，对于客户来说这个问题也非常重要。

    最后一点就是要云审计。有一种标准叫API标准，我们可以来监控一些云计算供应商他们的内部运转情况。

    对于所有云计算提供商来说，他们应该是属于某一种组织，他们的处理过程应该是符合某种标准的。他们也知道在云当中如果出现了一些问题怎么样去应对它。在三四年之前，一些公司用的是公有云，他们可能会用十个不同的公有云，如果一个坏人或者一个还可来这个组织，他们可能会同时攻击十个云。作为云的产业是否做好这种应对。

    信任云这个项目，这个项目主要是建立起更加具体的基础设施。主要就是在云当中建立安全的身份认证，不管是IaaS，还是PaaS，还是SaaS，都需要有这种安全的身份认证。你可以上我们的网络，这个看起来比较困难，但是你可以上网来读到具体的信息。我们有双叶，还有IT的管理，还有IT技术设施建设。另外还有Java平台，它也是一个很主要的参考结构，一共有一百多个小的分支内容包括在其中。

    最后就是安全级服务这个项目，这个项目的目的就是在IT行业当中怎么样能够采用更加创新的安全措施，我们正在研发这样的软件。它是一种全新的项目，而且这个项目当中包括了我们认为所有的安全软件都应该具有的特点。也就是说应该建立一个公共的接入点。

    另外我还想让大家想想关于云2.0，如果我们建好了标准，这些标准都是基于行业的事实建立的标准，我们可能会看到云并没有像我们想象的那样在数据中心集中起来，我们可能会看到有很多的网格计算，我们必须要对此进行设计，为什么会出现这样的情况，能源成本可能是一个因素，如果你想象一下有一百多个Iphone，他们都用网格计算的方式来处理信息，如果你真的可以这样做的话，可能就没有任何的能源成本了。我们实际上有的时候并不完全信任一个国家和另一个国家的数据中心，所以我觉得需要很多的IT公司进行创新。想想在十年之前，现在有很多的IT公司根本就不存在。现在可以说是IT公司发展好的时机，是建立IT产业好的时机，我们没有选择，我们必须向前发展。等待不是选择，我们必须不断的进步，要采取各种方式避免风险和管理风险，谢谢。

更多精彩内容，请关注“第三届中国云计算大会官网”及官方微博。

云计算大会官网：http://www.ciecloud.org/2011

CSDN云计算频道微博：http://weibo.com/csdncloud

云计算大会官方微博：http://t.sina.com.cn/1999554415