(本文原文爲英文“Why and how some cloud can be more trustworthy than the other”,作者於2010年10月29日發表於EMC Community Network: https://community.emc.com/community/labs/blog/2010/10/29/why-and-how-a-cloud-can-be-more-trustworthy-than-the-other )
下圖描繪了一個雲上信息處理的典型場景(該圖構造結合了兩個雲計算標準:“開放雲計算界面OCCI”與“雲數據管理界面CDMI”):
這個典型雲計算場景不失一般性地同時使用了兩個雲數據中心:一個用來提供計算資源,客戶(Client)通過OCCI技術規範提供的機制來控制計算進程;另一個用來提供數據存儲資源,用戶通過CDMI技術規範提供的機制來控制數據的使用與處理。在客戶與這兩個數據中心之間的控制機制都可採用RESTful或者web服務命令。幾乎無須解釋具體技術細節,從客戶看來這兩個數據中心所要用到的所有東西,無論是虛擬機或者存儲對象或者其他一些什麼更具體的細節,每一樣東西都可以由一個URI(“統一資源描述符”,就像網頁一樣)來描述從而使所被描述的對象可以受到由客戶端發起的RESTful命令來控制。我們可以想象這個計算場景爲:一個學者使用EC2虛擬機中的分析算法來分析紐約時報檔案中的一些非結構化數據信息,研究金融海嘯爲什麼發生。這個學者用OCCI技術規範編制的RESTful指令來控制EC2虛擬機中的分析算法,用CDMI技術規範編制的RESTful的命令來處理紐約時報檔案中的有關數據。這樣分佈式的信息處理方法之所以可行是因爲各個相關的URI可以正確無誤地通過互聯網連接上。
從這個在雲上信息處理的典型場景中我們可以看到客戶端幾乎沒有什麼資源與數據。它依賴URI,RESTful命令,以及其他一些元數據信息例如身份和證書來使用EC2和紐約時報所提供的計算與數據資源。當然客戶端還有其他一些信息也可以通過RESTful的通訊來傳遞到數據中心:例如某些擊鍵和鼠標位置的信息等等。說實話,可能僅有用戶身份和證書信息纔是在客戶端需要做安全保護的敏感信息。我相信在客戶端對這些東西的保護技術應當是屬於傳統的網絡安全話題,應該和雲安全技術基本無關。我曾聽到過這樣的演講: 在客戶端對數據進行加密,然後把密文放到雲數據中心,期望以此作爲一種雲存儲的安全方案。顯然這是一個客戶端計算解決方案,和雲計算沒有任何關係。一個真正的雲存儲安全問題必須考慮用戶數據在服務器上以明文狀態存在,因而諸如重複數據刪除等計算問題才能夠被服務器執行完成,所以雲存儲安全問題的關鍵是如何保護服務器上明文計算的安全。我還聽到過另外一些演講,基本上的意思是一些雲數據中心可以提供“安全作爲服務”(Security as a Service),例如,驗證用戶存放在一個雲數據中心的數據的完整性和可下載性(Retrievability)。這些驗證的過程使用一些相當複雜的密碼協議。我不僅對這樣故事背後的邏輯要感到困惑,這就是爲什麼我在這篇文章的標題中要問這樣的問題:爲什麼有些雲要比其他雲更值得信賴呢?在這些故事中的加密協議本身似乎並沒有給出某種特別有意義的說明。經過仔細研究這些加密協議,我開始看到了一點原因了。這些密碼協議都有一些濃厚的歷史淵源,協議的兩個執行方一端是本地計算,另外一端是假想敵。毫無疑問,本地一端的計算的確是更可信的。那麼這些故事背後的邏輯其實是重新回到本地計算這一模型。IT行業正在飛速前進,像這樣的“本地計算更多資源,更聰明,更安全”的思路顯然和雲計算背道而馳,必將會被逐漸遺忘。雲安全的一個關鍵思路就是避免這種“本地和遠端”的思想:將來本地計算將越來越少,最終將不復存在。本地計算將會變得無資源,不聰明,安全需求大爲降低,因而傳統的“中間人”攻擊(man-in-the-middle attacks)也將會發展成爲相對應的“服務器上存在惡意攻擊”(man-in-the-cloud-server attacks)的版本。
現在討論爲什麼有些雲比另一些雲更可信,因而更適合提供安全服務。在我看來,之所以有些數據中心比其他數據中心更值得信賴,是因爲這些數據中心投入更多資源實現更強的安全保護。例如,它們做充分的病毒和惡意軟件掃描,欺詐檢測,有力的數據丟失防護,隔離,沙盒,身份保護,入侵檢測等,最爲重要的是,它們會採用一些機制來防止內部攻擊。對付內部攻擊(可以由某個惡意系統操作員發起)的技術機制也許是使一個雲數據中心更值得信任的最爲相關的要素。因爲所有其他上述的安全保護機制都是在雲計算時代之前就存在的常規安全機制。我還認爲,可信計算技術纔是阻止數據中心內部攻擊的最爲相關和實用的技術方法。