云计算让安全问题变得集中可控,关系到国家竞争力

  • InfoQ 中文站

2014 年 2 月 25 日

话题:云计算语言 & 开发架构

云计算加快了数据的沉淀,为大数据的快速处理和分析提供了足够的计算能力,并且将计算变成一种公共服务,通过互联网输送到千家万户。 云计算的发展势头近年来日益迅猛,众多企业开始享受云计算便利的计算资源服务、大数据沉淀与挖掘带来的产业创新同时,业界也一直存在关于云服务安全方面的挑战与质疑。2013 年,亚马逊 AWS 战胜 IBM 获得美国中央情报局 6 亿美元云计算系统订单,给质疑云计算安全的声音泼了一次冷水,对全世界范围内的云计算云服务进程是一次不小的推动。 在中国,云计算服务经过 3 年多的发展实践,已经有了不小的规模,同时也产生了国外尚未涉足、对安全要求更高的金融行业等新的云计算服务领域。比如目前国内最大的单只基金 - 余额宝,国内第一家互联网保险公司 - 众安在线均是构建在阿里云的云计算平台上。 当然,对这一新鲜事物质疑与担忧也不少,据统计国内 50% 的企业不敢使用云计算服务的主要原因是对安全问题的担忧,此次笔者前往杭州采访了现任阿里巴巴集团首席技术官,也是阿里云计算有限公司、云 OS 操作系统的筹建者,并主导了阿里巴巴集团的去“IOE”革新的王坚博士,请他来为大家关心的云计算安全问题答疑解惑。

云计算更安全,是一个思维变革 云计算的特点是把信息化的资源颗粒化,比如存储、计算、软件、数据、管理资源,这些资源虚拟化而且被颗粒化以后形成各种资源池然后统一整合进行管理和利用,实时的按需分配。就好比是以前家家户户自己打井汲水,现在由自来水公司集中管理全市用水,并且通过管道将自来水输送到各家各户。从井水到自来水的变迁让千家万户喝上了放心水,省去了挖井打水的功夫,不会有人担心自来水公司被投毒而拒绝接入自来水。

“事实上,云比原来的方法更安全,就好像把钱放在银行事实上会比放在枕头底下更安全一样,需要克服的是心理障碍”。王坚博士认为这是一个思维变革的过程。

国内云计算安全获国际顶级认可

如同储户把金钱从枕头下存进银行是基于信任一样,用户是否选择使用云服务关键在于如何建立对云服务商的信任,而无论从阿里云还是用户角度来看,客观、公正的第三方权威认证是双方建立信任的基础,因此阿里云通过覆盖国际和国内、传统 IT 安全和云计算安全的一系列第三方认证构建起用户同云服务商间的信任纽带。

在国际方面,暨 2012 阿里云领先国内云服务商将 ISO27001(信息安全管理体系)国际认证覆盖弹性计算、RDS(关系型数据库服务)、ODPS(开放数据处理服务)、OSS(开放存储服务)、OTS(开放结构化数据服务)、云盾(云安全服务)以及云监控服务后,于 2013 年阿里云获得全球首张云安全国际认证金牌(CSA-STAR),这是英国标准化协会(bsi)向全球云服务商颁发的首张金牌。这也是中国企业在信息化、云计算领域安全合规方面第一次取得世界领先成绩。

该认证是一项全新而有针对性的国际专业认证项目,旨在应对与云安全相关的特定问题。其以 ISO/IEC 27001 认证为基础,结合云端安全控制矩阵 CCM 的要求,bsi 提供的成熟度模型和评估方法,对提供和使用云计算的任何组织,综合评估组织云端安全管理和技术能力,最终给出“不合格 - 铜牌 - 银牌 - 金牌”四个级别的独立第三方外审结论。

在国内方面,阿里云已通过公安部信息安全等级保护三级测评,测评对象覆盖弹性计算、RDS(关系型数据库服务)、ODPS(开放数据处理服务)、OSS(开放存储服务)、OTS(开放结构化数据服务)OSS(开放存储服务)等云服务支撑系统。

云安全考验企业文化和诚信

众多企业对云计算服务心存顾虑的原因不仅是对安全防护的担忧,还有对敏感和隐私数据的保护缺乏信心。目前国内几大云计算服务商都是互联网巨头,这些巨头的业务覆盖范围十分广泛,几乎无所不包,拷贝复制的能力非常强大,中小型互联网创业公司可能将自己的业务和数据放到强大竞争对手的云平台上吗?

“这是一个有关企业诚信和文化的问题,短时间内无法证明。” 王坚博士诚恳的回答,“淘宝 2013 年“双 11”的交易量达到 350 亿,却没有一分钱是淘宝自己卖出的。淘宝提供交易平台,阿里云计算提供 IT 服务,阿里金融提供融资贷款服务,这是阿里巴巴集团为中小型公司打造的一个创业服务生态链。“

“阿里云计算公司成立的初衷不是仅仅为支持本集团内部的业务系统,我们提供的通用的云计算服务可以帮助中小型企业摆脱 IT 的束缚,减少 IT 投入的成本和风险,让小公司做大公司才能做的事。云计算的发展需要一个生态圈,中国互联网的健康发展也需要一个生态圈,而不仅仅是几个互联网巨头,阿里巴巴集团的成功并没有堵住中小型创业公司的发展道路,而是在为中小企业的发展创造条件。” 博士接着谈到。

云计算为国家信息安全等级保护工作提供便利

今天传统的网络安全产品提供商仍然在致力于逐门逐户的推广安全加固的“井盖和井水净化剂”,安全产品防御容量也从“企业级”走向了“电信级”。当很多单位和企业其业务互联网后面对用户不可预知的攻击动机所引发的“现象级“安全保障挑战时,其在信息安全建设方面曾经经历的“堆产品、上服务、组团队”等安全历程后、仍未能帮助解决“攻击难预测、服务响应慢、安全人才一将难求”等方面的安全问题。究其原因是对于“现象级“安全保障挑战,未能具备安全攻击自动响应、弹性防御的能力,从而无法保证安全防御能力不被海量用户的差异化访问而稀释。

云计算服务的集中化特点使得云服务商无论是从保障云服务安全性,还是提升用户使用云服务粘性的角度都需要提供“现象级“的云安全服务。这种特性不但使得用户的安全投入得以大大降低,更重要的是对于国家信息安全主管部门而言,为其信息安全监督和检查工作提供了极大的便利条件。改变过去系统和数据分散不易管控的局面,通过集中化的安全管理提高国家信息安全管理的水平,真正实现用户安全防御能力的可测量化。

从监管对象而言,国家信息安全等级保护标准体系目前基于信息系统而非平台的测评体系也同样面临云计算服务模式带来的挑战。这方面阿里云正积极会同公安部各测评、研究机构在公共安全领域试点等保要求在云计算平台落地的可行性,提升等保标准在新信息化服务模式下的生命力。

大数据挖掘的计算能力是国家竞争力

当各种数据在云计算平台上迅速沉淀,大数据的分析方法就有了用武之地。正如微软的 Windows 操作系统平台使美国成为全世界个人电脑的数据中心,GOOGLE 的 Android 移动操作系统使其成为大部分移动终端的数据中心,各国云计算通用平台的竞争将是一个更大规模数据中心的竞争,具有重要战略意义。

“6 年前全世界只有 5% 的手机使用美国公司的操作系统,如今 80% 以上的手机使用美国苹果公司的 ios 操作系统以及谷歌的 Android 操作系统。操作系统之上的软件只能控制很少一部分数据,无法保障数据安全。这也正是阿里云计算公司花大力气研发自己的阿里云移动操作系统的原因之一。”

基于互联网产生的大数据是国家的重要资源,今天我们看淘宝很重大的意义在于将国民消费行为产生的经济数据留在了国内,而不是国外互联网平台上。那么挖掘这些数据资源的计算能力,则是国家竞争力的体现。

拥抱互联网将是所有传统行业、新兴行业生存发展共同的必经之路,“站在阿里云的角度,帮助别人成就梦想是我们最高兴的事。”王坚坚定的相信,云计算将成为互联网和移动互联网最重要的推动力,而安全问题也将是云计算要解决的重中之重。

云计算语言 & 开发架构