2010年RSA大會RSA總裁主題演講：雲的安全

EMC資訊保安事業部RSA總裁亞瑟·科維洛在2010年RSA大會上的主題演講

2010年3月2日

各位早晨好。歡迎來到2010年RSA大會。

這個聚會越來越重要。

不再是偶然看到的一個關於資料庫癱瘓的報導，網路安全漏洞和攻擊正前所未有地成為主流媒體的話題。

關於形勢的嚴峻，您將在本週的會議上聽到美國國土安全部部長珍妮特·納波利塔諾、美國聯邦調查局局長羅伯特·米勒、白宮網路安全負責人施密特.霍華德等眾多行業和政府領導人的演講。

對於我們廠商和從業者來說，形勢從來就沒有簡單過，對嗎？

惡意軟體肆虐的同時，全球經濟在成本控制和新一輪計算浪潮-雲端計算風起雲湧的雙重夾擊中掙扎著復甦。

但是事情可以變得越來越簡單。

怎麼變得越來越簡單呢？

利用新技術通過雲來確保安全。

聽起來美極了。

可是就象我父親過去說過的：“每個人都想要去天堂，可是沒有人願意為此去死。”

因為雲端計算意味著挑戰，也帶來了機會。

我們務必要小心謹慎，不要落入安全的地獄!

每當我面臨重大挑戰時，我會回顧歷史，重溫過去人類的無限創意，重溫他們那種重新定義在別人眼中看似不可改變的人生的能力。

這一次我們不用回顧得太遠，想到剛剛故去的尊敬的Whit Diffie先生，以及“R”、“S”和“A”三位創始人，想到他們的重新定義密碼技術的創意。

這幾位故人做到了前人認為他們不能辦到的事情，無論這件事情看起來多麼艱難。

以他們的洞察力，他們構建了一個新的-有時候很精確的-願景。

想一想另外一個激動人心的例子。

想象一下一位在古騰堡發明活版印刷之前的盲人的生活。

活版印刷在那個時代是對資訊基礎架構的一個徹底的變革。

它從此改變了人們分享思想、知識和資訊的方式。但如果您是一位盲人，則仍被隔絕於這個新的記錄知識的方式之外。

19世紀初，有一位從三歲起失明的路易·布萊葉先生。

他16歲時，他想象並隨後設計出適用於盲人讀寫的系統。

他的好奇心讓他想到戰場上的士兵在夜間不能點燈，卻需要彼此間傳送書面資訊的一種通訊方式。

布萊葉先生採用了他們這種凸起的點陣的方式……並大膽地改進和簡化了這一系統……人們一直延續使用著這種方式。

象一位史學家所說，“布萊葉是盲人世界的古騰堡。”

這個故事與我們的行業和目前的形勢有什麼關聯呢？

我認為，我們的安全行業需要一個更加突出和廣泛的願景，以迎接即將到來的IT變革的巨大浪潮-雲端計算。

想一想為什麼雲端計算是如此的強大。

它捨棄了以往公司陳舊的、不靈活的、高成本的IT基礎架構，進入了一個“按需付費”的、可以由公司的選擇和機動性定義的新世界。

而且很快就可以，因為眾多機構正花費約三分之二的IT預算去維護他們的基礎架構和應用。

雲端計算可以大幅地改進這些三分之二/三分之一的比率，讓更多的能源和投資能夠用於真正的創新和競爭力的提升。

問題是有些事情正制約著這樣的雲願景的全面實施。

這就是安全。

CIO雜誌最近發表了CIO的現狀研究報告。

超過半數的、51%的被訪問的CIO提到-安全問題是他們“採用雲端計算時最大的擔憂”。

如果你聽了太多有關雲的贅述，讓我們聽一下在1997年，曾經的麻省理工學院媒體實驗室的傳奇人物尼可拉斯·尼葛洛龐帝的話：“網際網路是歷史上最被大肆宣傳的、卻被大大低估了的現象。”

記住我的話，雲端計算也是一樣。

雲端計算將完成由網際網路帶來的IT基礎架構的變革。

眾多機構會需要這樣的變革，因為他們必須要得到更快的更好的IT投資回報。

所以我們必須要在雲端計算成為現實的程式中扮演一個關鍵的角色。

下面是我眼中我們所面對的挑戰和機會：

挑戰是指要確保安全被設計和構建到雲中，以使各種規模的機構-從最小的商鋪或代理到最大型的政府或跨國公司-都可以廣泛地使用雲…….並完全確信他們的資訊和交易是安全的。

我們需要推出安全服務以確保雲的安全保護水平高於今天的物理環境所能提供的安全級別。

簡而言之，各地的人們必須去信任雲，儘管他們不能確鑿地看到雲。

這就是我們面對的挑戰。

我們的機會是什麼呢？

答案是雲端計算將使你的工作比以前更重要更卓越。

雲端計算將是一個我們徹底改變安全提供方式的機會。

我這樣說是因為雲將促使機構更加認真地關注安全管理流程，不僅僅是終端-那些死的終端-更是安全技術

我們沒有什麼機會“再重新來過”，要利用當前時機進行創造，搭乘這一輪新的計算浪潮，將安全從一開始構建到雲中。

我們能夠重新開始創造一個基礎架構，它將比目前物理的基礎架構更加安全，可以帶動更多創新。

這就是我今天演講的重點-我們如何一起讓雲從本質上安全可信、遵循法規、可管理可支配，可以保證我們的資訊的私密性、完整性和實用性。

也就是說，安全將以前所未有的方式趨動業務。

那麼我們從哪裡開始？

用雲端計算的話來說……我們將需要執行物理環境下相同的身份、資訊和基礎架構政策。

但是事情變得越來越有意思，因為虛擬的基礎架構可以從它以下的硬體基礎架構減弱軟體環境……所以你能夠將眾多伺服器、儲存系統和網路集合成資源分享池。

當我們考慮如何使雲安全，我想我們最好從人、流程和技術開始-就象我們在面對業務和安全的其它方面時所做的一樣。

所以讓我們從人和流程開始。

在物理的世界裡有一些孤島。

單獨的組群將重點放在儲存、伺服器、網路、終端等上面。

在雲中，很多這些業務和角色可以整合。

例如，我們希望看到虛擬機器的管理器能夠同時執行所有的網路、儲存和伺服器管理器。

這種功能的集合帶來新的挑戰……我們需要重新對策略和相關程式進行思考，以期實現負責管理資訊基礎架構的安全團隊，和保障服務質量的執行團隊間的高效切換。

接下來，讓我們一起來聽一下 VMWare的 Paul Maritz 發表有關虛擬化的演講。

[視訊]

虛擬化是雲發展的引擎，而云技術則不斷地推動著我們前行的步伐;這並不是一蹴而就的大跨步跳躍式發展，而是各組織按照自身的不同情況循序漸進，獲得實實在在的利益。

通過在虛擬抽象層中嵌入安全——我們得以“重新來過”!

我們能在虛擬層中執行資訊、身份和基礎架構策略。

這樣一來，我們能夠從以基礎架構為核心轉向以資訊為中心的策略上，並專注於最重要的事情上——即資訊本身以及誰能夠訪問這些資訊，而不是盯著無意義的外圍或僅僅只是探索。

這個過程包括有四個明確的階段。

第一步是非關鍵任務基礎架構，如測試、開發系統和低風險應用等的虛擬化。

據 VMWare統計，目前約有25%的伺服器已經實現虛擬化，你們所在的組織中有許多正處在這個階段。

由於應用本身並不是關鍵性的，因此這一階段並沒有提出許多新的安全需求;但這一步能讓你開始熟練掌握虛擬化工具，並進入下一個虛擬基礎架構的“攻堅戰”階段。

在第二個階段，組織開始逐步對關鍵業務應用實施虛擬化。

在這一階段中，基礎架構變得更具擴充套件性和彈性，而安全需求也成正比地提升。

在虛擬環境中，你將需要獲得與物理環境相同的可見的法規遵從水平。

而由於虛擬機器的便攜性，這一階段內部風險的重要性也會隨之增加。

正是在這個時候，我們將安全的關注點從機架轉入到深入虛擬化分層中。

目前的嵌入式控制都是固定在物理基礎架構上的。

在第三階段……企業開始開發內部雲，並將資訊基礎架構作為一種功能執行。

該階段包括一個全面虛擬化和自動化的資料中心，中心裡的應用負載都是以策略和服務水平為中心的。

如今，企業必須具備成熟嚴密的公司治理、風險和合規流程，它們可以通用於物理和虛擬基礎架構。

由於我剛才所說的功能集合(伺服器管理、網路等)，對訪問許可權的監測與控制變得越來越重要。

此外，自助服務和自助維護更增添了複雜性。因此，監測與控制變化在這種情況下也變得非常關鍵。

在第四階段，企業開始將其基礎架構外包給外部服務供應商。但只有當服務供應商能夠向你充分展示其高效的執行策略、法規遵從以及多租戶管理能力後，你才會這樣做。

在這一階段，聯邦成為重要的能力。

組織將需要具備就資訊訪問與處理方式向服務提供商釋出指令及聯邦身份認證與策略的能力。接下來他們會要求雲供應商證明其強有力的法規遵從能力，即使是在最深的雲層級上。

服務供應商應當能夠提供確鑿的指標，告訴合規專員和審計人員任何他們想知道的資訊。

最終的目標是生成一個記錄基礎架構中發生的相關事件的簡明摘要，以便直接製作一個GRC(公司治理、風險和合規)表格，實現合規狀況的虛擬化。

第四階段的最後因素是如何管理多租戶環境。

服務供應商必須在多租戶共用共置條件下保護敏感資料的安全。

T供應商要通過控制租戶間的資訊流來取得資料間的隔離。

為了達到這個目的，我們需要製作一個信任資源或區域池。信任區域將被虛擬基礎架構直接管理，確保執行區域間內和區域間的資訊策略。

但有時你並不希望兩個相同的租戶被放在一個相同的物理機上。例如，我無法想象可口可樂和百事可樂的虛擬機器能夠共享一個硬體。

為此，我們需要創新的想法，找出如何從根本上將物理機與虛擬世界重新連線在一起的方式。

這能夠通過在晶片級層上運用一個硬體可信根，以認證在正確的硬體系統上執行的虛擬機器來達到。

硬體可信根還能被用於根據類似的安全記錄或合規要求建立系統信任池，隨後可實現工作負載的動態分配優化。

這些雲資源的信任池對兩個世界而言都是最佳的：它們能夠在確保可預測、已驗證的安全控制和流程的條件下，提供雲的流動性和靈活性。

這種能力……實現基礎架構即服務的可視性、評估服務的安全態勢、信任相關結果及為審計人員提供可驗證的合規都不再只侷限於理論了。

今天早上，RSA 釋出了與 Intel 和 VMWare 的合作計劃，並推出了RSA最新產品—Archer Technologies，展示出如何獲得視覺化。您還可以在EMC展臺上了解到如何“加速您的安全虛擬化程式”。

在標準的信任鏈基礎上構建的雲基礎架構的出現，雖然不是解決所有云安全和合規性的萬用藥，但它確實有著里程碑般地重要意義。

過去在雲中被稱作“黑匣子”的硬體和虛擬化層，如今已經可被審查、分析和報告，以用於合規目的，成為了雲服務層中最常用的應用。

由於具備前所未有的視覺化水平，雲供應商現在可以開發基礎架構級別上的策略控制和端到端安全認證，以應對最嚴格的安全需求。

由此，這四個階段代表了虛擬化的程式，然而，更重要的問題是我們知道了該如何應對這些挑戰。

下面讓我們有請易趣的首席安全官 Dave Cullinane 與我們分享他作為業內人士、雲服務供應商和雲安全聯盟創始成員的一些看法。

[視訊]

目前有兩件事情是確信無疑的。邁向雲的程式是無可避免的，而我們要為其安全保駕護航。

但事實上，加密技術的出現正在為我們提供一個機遇，一種讓資訊保安走在其他技術前面的機遇!

雲基礎架構將推動我們迅速發展，因為它們促使企業將注意力集中到安全策略和流程上——而不是安全技術本身。

想想看——如果我們能夠從一開始就將安全嵌入到虛擬基礎架構中……我們不僅能擁有可視性和可管理性，而且能夠在任何地方找到風險決策點並進行控制。

總之……雲將為我們提供安全的方式帶來翻天覆地的變化。

資訊保安將讓雲端計算能夠充分利用網際網路的優勢，同時也為我們當前的IT模式帶來翻天覆地的變化。

這意味著我們將為各種規模的企業帶來新一輪的效率、靈活性和合作性的提升。

是的，這將會非常有挑戰性。但歷史告訴我們，人類能夠在從物理世界邁向虛擬世界的程式中成功應對種種徹底的變革。我來給大家舉個例子。

想想我們的貨幣體系所經過的變革。

我們從物物交換開始——我用雞交換你的穀物。

金屬鑄幣的出現讓財富變得更容易攜帶—但你仍然需要隨身攜帶實物財富。

紙幣的出現催生了財富虛擬化的程式。

這些有約束力但不存在實際價值的標註讓我們開始與證明這一概念打起交道…證明某些東西是真實的。

銀行系統將服務提供商帶入一個混合的領域。信用卡。自動取款機。

同時，隨著金融工具的不斷出現-債券、股票、共同基金等等-我們有了很多分享財富的方式，當一方不能使用時，另一方也許可以。

聽著很熟悉嗎？

當然熟悉，虛擬錢幣已經控制了貨幣供給幾十年。

一路走來我們還要想到機構間的標準、規則、聯邦，以及更多-所有這一切都是因為貨幣交易必須基於信任。

沒有一個系統是十全十美的。

每一個系統都會被誤用，並帶來意想不到的後果。

可是我們會就此回到原始的物物交換嗎？

不太可能。

雲端計算將真正地完成由網際網路帶來的IT基礎架構的變革。做為安全行業的從業者，我們必須領導這一變革，而不是做一個跟隨者。

我從業已經15年，我認為，我們已經擁有能力去迎接這些挑戰，抓住更多機會。

祝大家一路好運，祝本屆大會好遠!