前些天去听了下“中国计算机大会”的安全专场,在杭州的“第一世界大酒店”。我前一天晚上记错了,告诉老婆说,我明天要去“世界第一大酒店”开会,牛B的不行,到了才知道,原来是“第一世界大酒店”。这次大会是我们公司的主场,主会场是讨论云计算、物联网。安全有个分会场,来了许多专家,估计是出于主办方的要求,言必出“云安全”、“云计算安全”,云来云去的,搞的我也云里雾里了。说来惭愧,我在公司的主要工作之一就是搞云计算安全,但是搞来搞去,我发现什么都没有改变。要说起云计算,至今业界都没有一个非常标准的定义。每个企业都有自己定义的云计算。主要有两类,一个是跑在Map/Reduce框架下的计算平台,以此为代表的有hadoop,还有一些海量存储的,比如google的bigtable等。另一类就是虚拟机平台,以此为代表是Amazon、VMware。云计算的另一个特征应该就是有“数据中心”,用土话来说就是要有一个超大规模的机房,规模没上去,也不叫云计算。所以用个三到四台服务器搭了hadoop,这个也不能叫云计算。至今为止,很多人都搞不明白虚拟机类的云计算平台比起那些卖虚拟空间的有啥区别,说句老实话,我也没搞清楚。即便是后台调度有些区别,我认为也是有限的,不具有突破性。可能最大的区别在于,“云”的价格会便宜点,不过这不是我们这些安全工程师所关心的。尝试着讲明白了什么是“云”,那现在就来戳穿一下所谓的“云计算安全”。先讲讲所谓的“云安全”,现在很多安全厂商,都跟风把自己的产品叫云安全。什么是云安全?就是建个机房,然后有桌面产品的就把产品上抓到的木马样本发回中心机房,有IDC流量监控的就把数据抓了发回中心机房,这个就叫做“云安全”。我靠,这玩意不是若干年前就有的吗?很多软件虽然没说,但早就这么做了。原来这就是“云安全”,一个我们用了很多年的东西,现在终于可以光明正大的说出来了!更可怕的时候,在没有所谓云安全的时候,我们的隐私还是自己的,有了云安全,个人电脑里的数据、文件会自动发给厂商,你不担心吗?所以“云安全”这个东西,和“云计算安全”完全是两码事,跟云计算也不搭边。当然,你要硬说你建了数据中心,也用了hadoop,所以你的云安全是真的,那我也无话可说了。"云计算安全"这个概念,在我看来,和以前有一个概念很像。什么呢?“电子商务”。我大学是学这个专业的,我读了个在职研究生,也是读这个方向。但我至今没搞明白学了什么,至今无法讲清楚电子商务的概念。记得当初毕业的时候,我们专业的所有人都很迷茫,不知道这个专业能干吗,没人知道。当没有人能够讲清楚一个大家都在用的概念时,那么,肯定是有问题的。这并不是一个只有爱因斯坦才懂相对论的时代,这是一个卖冰棍的大妈都知道云计算的时代!什么是电子商务?在中国,是淘宝,是阿里巴巴,在美国,是ebay,是amazon。今天的所有概念,都在随着实践的改变而改变。所以今天没有人能讲清楚什么是“云计算安全”,是很正常的一件事情。我们看一张MAP:
什么是云计算安全?这就是云计算安全。从这张图上的第一个直观印象就是,所有的安全方法、安全产品,都没有改变。我们以前是怎么做安全的,在云计算时代,还是怎么做。
我们要做代码review,要做防火墙,要做WAF,要做XXX,这些都没有变。
既然你什么都没变,那你在折腾个什么劲?因为今天“云计算”被炒的太火了,很少有人能说清楚什么叫云计算,更没有人可以说清楚什么叫“云计算安全”。但是你不这么说,好像就会落伍了,就会被鄙视了。陋习!
从字面上看,给云计算做安全,就叫云计算安全。从某种意义上来说,“云计算安全”是另外一种屠龙术,挂羊头卖狗肉。如果有人要开个班,培训“云计算安全”,那一定是骗人的。因为我今天见到的任何所谓“云计算安全”,无论国内的还是国外的,都不具有突破性,不需要专门开辟一个领域,叫做“云计算安全”,我们也不需要任何的神坛。
但是云是需要安全的,云需要什么样的安全?我们不妨叫做:“云计算的安全”。从宏观层面来说,和传统安全没什么变化,还是网络策略,代码实现安全,数据保护等等。
真要说云时代安全的特征,我认为有两个,一个是在云中需要执行用户代码的时候,比较注重虚拟机技术以及各类sandbox技术,另一个就是用户数据的保护。不过这些技术,都没有突破传统安全技术的范畴。局部有创新,总体没改变。
会有些变化的领域,应该是“基于云计算的服务安全”,上层应用会带来各种各样的多变性。比如卖虚拟空间啊,比如云的终端放在手机上啊,再比如一些基于云的SAAS服务啊,都会带来非常独特的功能,所以基于云服务的安全怎么做,才是真正需要创新和定制化的地方。
我已经厌烦了整天云来云去的,这个安全产业出于对利益的追逐,太浮躁了。
阅读(2733) | 评论(1) | 转发(0) |