EMC信息安全事業(yè)部RSA總裁亞瑟•科維洛在2010年RSA大會(huì)上的主題演講

2010年3月2日

各位早晨好。歡迎來到2010年RSA大會(huì)。

這個(gè)聚會(huì)越來越重要。

不再是偶然看到的一個(gè)關(guān)于數(shù)據(jù)庫癱瘓的報(bào)道，網(wǎng)絡(luò)安全漏洞和攻擊正前所未有地成為主流媒體的話題。

關(guān)于形勢(shì)的嚴(yán)峻，您將在本周的會(huì)議上聽到美國國土安全部部長珍妮特•納波利塔諾、美國聯(lián)邦調(diào)查局局長羅伯特•米勒、白宮網(wǎng)絡(luò)安全負(fù)責(zé)人施密特.霍華德等眾多行業(yè)和政府領(lǐng)導(dǎo)人的演講。

對(duì)于我們廠商和從業(yè)者來說，形勢(shì)從來就沒有簡單過，對(duì)嗎？

惡意軟件肆虐的同時(shí)，全球經(jīng)濟(jì)在成本控制和新一輪計(jì)算浪潮-云計(jì)算風(fēng)起云涌的雙重夾擊中掙扎著復(fù)蘇。

但是事情可以變得越來越簡單。

怎么變得越來越簡單呢？

利用新技術(shù)通過云來確保安全。

聽起來美極了。

可是就象我父親過去說過的：“每個(gè)人都想要去天堂，可是沒有人愿意為此去死。”

因?yàn)樵朴?jì)算意味著挑戰(zhàn)，也帶來了機(jī)會(huì)。

我們務(wù)必要小心謹(jǐn)慎，不要落入安全的地獄!

每當(dāng)我面臨重大挑戰(zhàn)時(shí)，我會(huì)回顧歷史，重溫過去人類的無限創(chuàng)意，重溫他們那種重新定義在別人眼中看似不可改變的人生的能力。

這一次我們不用回顧得太遠(yuǎn)，想到剛剛故去的尊敬的Whit Diffie先生，以及“R”、“S”和“A”三位創(chuàng)始人，想到他們的重新定義密碼技術(shù)的創(chuàng)意。

這幾位故人做到了前人認(rèn)為他們不能辦到的事情，無論這件事情看起來多么艱難。

以他們的洞察力，他們構(gòu)建了一個(gè)新的-有時(shí)候很精確的-愿景。

想一想另外一個(gè)激動(dòng)人心的例子。

想象一下一位在古騰堡發(fā)明活版印刷之前的盲人的生活。

活版印刷在那個(gè)時(shí)代是對(duì)信息基礎(chǔ)架構(gòu)的一個(gè)徹底的變革。

它從此改變了人們分享思想、知識(shí)和信息的方式。但如果您是一位盲人，則仍被隔絕于這個(gè)新的記錄知識(shí)的方式之外。

19世紀(jì)初，有一位從三歲起失明的路易•布萊葉先生。

他16歲時(shí)，他想象并隨后設(shè)計(jì)出適用于盲人讀寫的系統(tǒng)。

他的好奇心讓他想到戰(zhàn)場(chǎng)上的士兵在夜間不能點(diǎn)燈，卻需要彼此間傳送書面信息的一種通訊方式。

布萊葉先生采用了他們這種凸起的點(diǎn)陣的方式……并大膽地改進(jìn)和簡化了這一系統(tǒng)……人們一直延續(xù)使用著這種方式。

象一位史學(xué)家所說，“布萊葉是盲人世界的古騰堡?！?/P>

這個(gè)故事與我們的行業(yè)和目前的形勢(shì)有什么關(guān)聯(lián)呢？

我認(rèn)為，我們的安全行業(yè)需要一個(gè)更加突出和廣泛的愿景，以迎接即將到來的IT變革的巨大浪潮-云計(jì)算。

想一想為什么云計(jì)算是如此的強(qiáng)大。

它舍棄了以往公司陳舊的、不靈活的、高成本的IT基礎(chǔ)架構(gòu)，進(jìn)入了一個(gè)“按需付費(fèi)”的、可以由公司的選擇和機(jī)動(dòng)性定義的新世界。

而且很快就可以，因?yàn)楸姸鄼C(jī)構(gòu)正花費(fèi)約三分之二的IT預(yù)算去維護(hù)他們的基礎(chǔ)架構(gòu)和應(yīng)用。

云計(jì)算可以大幅地改進(jìn)這些三分之二/三分之一的比率，讓更多的能源和投資能夠用于真正的創(chuàng)新和競(jìng)爭(zhēng)力的提升。

問題是有些事情正制約著這樣的云愿景的全面實(shí)施。

這就是安全。

CIO雜志最近發(fā)表了CIO的現(xiàn)狀研究報(bào)告。

超過半數(shù)的、51%的被訪問的CIO提到-安全問題是他們“采用云計(jì)算時(shí)最大的擔(dān)憂”。

如果你聽了太多有關(guān)云的贅述，讓我們聽一下在1997年，曾經(jīng)的麻省理工學(xué)院媒體實(shí)驗(yàn)室的傳奇人物尼可拉斯•尼葛洛龐帝的話：“互聯(lián)網(wǎng)是歷史上最被大肆宣傳的、卻被大大低估了的現(xiàn)象?！?/P>

記住我的話，云計(jì)算也是一樣。

云計(jì)算將完成由互聯(lián)網(wǎng)帶來的IT基礎(chǔ)架構(gòu)的變革。

眾多機(jī)構(gòu)會(huì)需要這樣的變革，因?yàn)樗麄儽仨氁玫礁斓母玫腎T投資回報(bào)。

所以我們必須要在云計(jì)算成為現(xiàn)實(shí)的進(jìn)程中扮演一個(gè)關(guān)鍵的角色。

下面是我眼中我們所面對(duì)的挑戰(zhàn)和機(jī)會(huì)：

挑戰(zhàn)是指要確保安全被設(shè)計(jì)和構(gòu)建到云中，以使各種規(guī)模的機(jī)構(gòu)-從最小的商鋪或代理到最大型的政府或跨國公司-都可以廣泛地使用云…….并完全確信他們的信息和交易是安全的。

我們需要推出安全服務(wù)以確保云的安全保護(hù)水平高于今天的物理環(huán)境所能提供的安全級(jí)別。

簡而言之，各地的人們必須去信任云，盡管他們不能確鑿地看到云。

這就是我們面對(duì)的挑戰(zhàn)。

我們的機(jī)會(huì)是什么呢？

答案是云計(jì)算將使你的工作比以前更重要更卓越。

云計(jì)算將是一個(gè)我們徹底改變安全提供方式的機(jī)會(huì)。

我這樣說是因?yàn)樵茖⒋偈箼C(jī)構(gòu)更加認(rèn)真地關(guān)注安全管理流程，不僅僅是終端-那些死的終端-更是安全技術(shù)

我們沒有什么機(jī)會(huì)“再重新來過”，要利用當(dāng)前時(shí)機(jī)進(jìn)行創(chuàng)造，搭乘這一輪新的計(jì)算浪潮，將安全從一開始構(gòu)建到云中。

我們能夠重新開始創(chuàng)造一個(gè)基礎(chǔ)架構(gòu)，它將比目前物理的基礎(chǔ)架構(gòu)更加安全，可以帶動(dòng)更多創(chuàng)新。

這就是我今天演講的重點(diǎn)-我們?nèi)绾我黄鹱屧茝谋举|(zhì)上安全可信、遵循法規(guī)、可管理可支配，可以保證我們的信息的私密性、完整性和實(shí)用性。

也就是說，安全將以前所未有的方式趨動(dòng)業(yè)務(wù)。

那么我們從哪里開始？

用云計(jì)算的話來說……我們將需要執(zhí)行物理環(huán)境下相同的身份、信息和基礎(chǔ)架構(gòu)政策。

但是事情變得越來越有意思，因?yàn)樘摂M的基礎(chǔ)架構(gòu)可以從它以下的硬件基礎(chǔ)架構(gòu)減弱軟件環(huán)境……所以你能夠?qū)⒈姸喾?wù)器、存儲(chǔ)系統(tǒng)和網(wǎng)絡(luò)集合成資源分享池。

當(dāng)我們考慮如何使云安全，我想我們最好從人、流程和技術(shù)開始-就象我們?cè)诿鎸?duì)業(yè)務(wù)和安全的其它方面時(shí)所做的一樣。

所以讓我們從人和流程開始。

在物理的世界里有一些孤島。

單獨(dú)的組群將重點(diǎn)放在存儲(chǔ)、服務(wù)器、網(wǎng)絡(luò)、終端等上面。

在云中，很多這些業(yè)務(wù)和角色可以整合。

例如，我們希望看到虛擬機(jī)的管理器能夠同時(shí)運(yùn)行所有的網(wǎng)絡(luò)、存儲(chǔ)和服務(wù)器管理器。

這種功能的集合帶來新的挑戰(zhàn)……我們需要重新對(duì)策略和相關(guān)進(jìn)程進(jìn)行思考，以期實(shí)現(xiàn)負(fù)責(zé)管理信息基礎(chǔ)架構(gòu)的安全團(tuán)隊(duì)，和保障服務(wù)質(zhì)量的運(yùn)行團(tuán)隊(duì)間的高效切換。

接下來，讓我們一起來聽一下 VMWare 的 Paul Maritz 發(fā)表有關(guān)虛擬化的演講。

[視頻]

虛擬化是云發(fā)展的引擎，而云技術(shù)則不斷地推動(dòng)著我們前行的步伐;這并不是一蹴而就的大跨步跳躍式發(fā)展，而是各組織按照自身的不同情況循序漸進(jìn)，獲得實(shí)實(shí)在在的利益。

通過在虛擬抽象層中嵌入安全——我們得以“重新來過”!

我們能在虛擬層中執(zhí)行信息、身份和基礎(chǔ)架構(gòu)策略。

這樣一來，我們能夠從以基礎(chǔ)架構(gòu)為核心轉(zhuǎn)向以信息為中心的策略上，并專注于最重要的事情上——即信息本身以及誰能夠訪問這些信息，而不是盯著無意義的外圍或僅僅只是探索。

這個(gè)過程包括有四個(gè)明確的階段。

第一步是非關(guān)鍵任務(wù)基礎(chǔ)架構(gòu)，如測(cè)試、開發(fā)系統(tǒng)和低風(fēng)險(xiǎn)應(yīng)用等的虛擬化。

據(jù) VMWare 統(tǒng)計(jì)，目前約有25%的服務(wù)器已經(jīng)實(shí)現(xiàn)虛擬化，你們所在的組織中有許多正處在這個(gè)階段。

由于應(yīng)用本身并不是關(guān)鍵性的，因此這一階段并沒有提出許多新的安全需求;但這一步能讓你開始熟練掌握虛擬化工具，并進(jìn)入下一個(gè)虛擬基礎(chǔ)架構(gòu)的“攻堅(jiān)戰(zhàn)”階段。

在第二個(gè)階段，組織開始逐步對(duì)關(guān)鍵業(yè)務(wù)應(yīng)用實(shí)施虛擬化。

在這一階段中，基礎(chǔ)架構(gòu)變得更具擴(kuò)展性和彈性，而安全需求也成正比地提升。

在虛擬環(huán)境中，你將需要獲得與物理環(huán)境相同的可見的法規(guī)遵從水平。

而由于虛擬機(jī)的便攜性，這一階段內(nèi)部風(fēng)險(xiǎn)的重要性也會(huì)隨之增加。

正是在這個(gè)時(shí)候，我們將安全的關(guān)注點(diǎn)從機(jī)架轉(zhuǎn)入到深入虛擬化分層中。

目前的嵌入式控制都是固定在物理基礎(chǔ)架構(gòu)上的。

在第三階段……企業(yè)開始開發(fā)內(nèi)部云，并將信息基礎(chǔ)架構(gòu)作為一種功能運(yùn)行。

該階段包括一個(gè)全面虛擬化和自動(dòng)化的數(shù)據(jù)中心，中心里的應(yīng)用負(fù)載都是以策略和服務(wù)水平為中心的。

如今，企業(yè)必須具備成熟嚴(yán)密的公司治理、風(fēng)險(xiǎn)和合規(guī)流程，它們可以通用于物理和虛擬基礎(chǔ)架構(gòu)。

由于我剛才所說的功能集合(服務(wù)器管理、網(wǎng)絡(luò)等)，對(duì)訪問權(quán)限的監(jiān)測(cè)與控制變得越來越重要。

此外，自助服務(wù)和自助維護(hù)更增添了復(fù)雜性。因此，監(jiān)測(cè)與控制變化在這種情況下也變得非常關(guān)鍵。

在第四階段，企業(yè)開始將其基礎(chǔ)架構(gòu)外包給外部服務(wù)供應(yīng)商。但只有當(dāng)服務(wù)供應(yīng)商能夠向你充分展示其高效的執(zhí)行策略、法規(guī)遵從以及多租戶管理能力后，你才會(huì)這樣做。

在這一階段，聯(lián)邦成為重要的能力。

組織將需要具備就信息訪問與處理方式向服務(wù)提供商發(fā)布指令及聯(lián)邦身份認(rèn)證與策略的能力。接下來他們會(huì)要求云供應(yīng)商證明其強(qiáng)有力的法規(guī)遵從能力，即使是在最深的云層級(jí)上。

服務(wù)供應(yīng)商應(yīng)當(dāng)能夠提供確鑿的指標(biāo)，告訴合規(guī)專員和審計(jì)人員任何他們想知道的信息。

最終的目標(biāo)是生成一個(gè)記錄基礎(chǔ)架構(gòu)中發(fā)生的相關(guān)事件的簡明摘要，以便直接制作一個(gè)GRC(公司治理、風(fēng)險(xiǎn)和合規(guī))表格，實(shí)現(xiàn)合規(guī)狀況的虛擬化。

第四階段的最后因素是如何管理多租戶環(huán)境。

服務(wù)供應(yīng)商必須在多租戶共用共置條件下保護(hù)敏感數(shù)據(jù)的安全。

T供應(yīng)商要通過控制租戶間的信息流來取得數(shù)據(jù)間的隔離。

為了達(dá)到這個(gè)目的，我們需要制作一個(gè)信任資源或區(qū)域池。信任區(qū)域?qū)⒈惶摂M基礎(chǔ)架構(gòu)直接管理，確保執(zhí)行區(qū)域間內(nèi)和區(qū)域間的信息策略。

但有時(shí)你并不希望兩個(gè)相同的租戶被放在一個(gè)相同的物理機(jī)上。例如，我無法想象可口可樂和百事可樂的虛擬機(jī)能夠共享一個(gè)硬件。

為此，我們需要?jiǎng)?chuàng)新的想法，找出如何從根本上將物理機(jī)與虛擬世界重新連接在一起的方式。

這能夠通過在芯片級(jí)層上運(yùn)用一個(gè)硬件可信根，以認(rèn)證在正確的硬件系統(tǒng)上運(yùn)行的虛擬機(jī)來達(dá)到。

硬件可信根還能被用于根據(jù)類似的安全記錄或合規(guī)要求創(chuàng)建系統(tǒng)信任池，隨后可實(shí)現(xiàn)工作負(fù)載的動(dòng)態(tài)分配優(yōu)化。

這些云資源的信任池對(duì)兩個(gè)世界而言都是最佳的：它們能夠在確?？深A(yù)測(cè)、已驗(yàn)證的安全控制和流程的條件下，提供云的流動(dòng)性和靈活性。

這種能力……實(shí)現(xiàn)基礎(chǔ)架構(gòu)即服務(wù)的可視性、評(píng)估服務(wù)的安全態(tài)勢(shì)、信任相關(guān)結(jié)果及為審計(jì)人員提供可驗(yàn)證的合規(guī)都不再只局限于理論了。

今天早上，RSA 發(fā)布了與 Intel 和 VMWare 的合作計(jì)劃，并推出了RSA最新產(chǎn)品—Archer Technologies，展示出如何獲得可視化。您還可以在EMC展臺(tái)上了解到如何“加速您的安全虛擬化進(jìn)程”。

在標(biāo)準(zhǔn)的信任鏈基礎(chǔ)上構(gòu)建的云基礎(chǔ)架構(gòu)的出現(xiàn)，雖然不是解決所有云安全和合規(guī)性的萬用藥，但它確實(shí)有著里程碑般地重要意義。

過去在云中被稱作“黑匣子”的硬件和虛擬化層，如今已經(jīng)可被審查、分析和報(bào)告，以用于合規(guī)目的，成為了云服務(wù)層中最常用的應(yīng)用。

由于具備前所未有的可視化水平，云供應(yīng)商現(xiàn)在可以開發(fā)基礎(chǔ)架構(gòu)級(jí)別上的策略控制和端到端安全認(rèn)證，以應(yīng)對(duì)最嚴(yán)格的安全需求。

由此，這四個(gè)階段代表了虛擬化的進(jìn)程，然而，更重要的問題是我們知道了該如何應(yīng)對(duì)這些挑戰(zhàn)。

下面讓我們有請(qǐng)易趣的首席安全官 Dave Cullinane 與我們分享他作為業(yè)內(nèi)人士、云服務(wù)供應(yīng)商和云安全聯(lián)盟創(chuàng)始成員的一些看法。

[視頻]

目前有兩件事情是確信無疑的。邁向云的進(jìn)程是無可避免的，而我們要為其安全保駕護(hù)航。

但事實(shí)上，加密技術(shù)的出現(xiàn)正在為我們提供一個(gè)機(jī)遇，一種讓信息安全走在其他技術(shù)前面的機(jī)遇!

云基礎(chǔ)架構(gòu)將推動(dòng)我們迅速發(fā)展，因?yàn)樗鼈兇偈蛊髽I(yè)將注意力集中到安全策略和流程上——而不是安全技術(shù)本身。

想想看——如果我們能夠從一開始就將安全嵌入到虛擬基礎(chǔ)架構(gòu)中……我們不僅能擁有可視性和可管理性，而且能夠在任何地方找到風(fēng)險(xiǎn)決策點(diǎn)并進(jìn)行控制。

總之……云將為我們提供安全的方式帶來翻天覆地的變化。

信息安全將讓云計(jì)算能夠充分利用互聯(lián)網(wǎng)的優(yōu)勢(shì)，同時(shí)也為我們當(dāng)前的IT模式帶來翻天覆地的變化。

這意味著我們將為各種規(guī)模的企業(yè)帶來新一輪的效率、靈活性和合作性的提升。

是的，這將會(huì)非常有挑戰(zhàn)性。但歷史告訴我們，人類能夠在從物理世界邁向虛擬世界的進(jìn)程中成功應(yīng)對(duì)種種徹底的變革。我來給大家舉個(gè)例子。

想想我們的貨幣體系所經(jīng)過的變革。

我們從物物交換開始——我用雞交換你的谷物。

金屬鑄幣的出現(xiàn)讓財(cái)富變得更容易攜帶—但你仍然需要隨身攜帶實(shí)物財(cái)富。

紙幣的出現(xiàn)催生了財(cái)富虛擬化的進(jìn)程。

這些有約束力但不存在實(shí)際價(jià)值的標(biāo)注讓我們開始與證明這一概念打起交道…證明某些東西是真實(shí)的。

銀行系統(tǒng)將服務(wù)提供商帶入一個(gè)混合的領(lǐng)域。信用卡。自動(dòng)取款機(jī)。

同時(shí)，隨著金融工具的不斷出現(xiàn)-債券、股票、共同基金等等-我們有了很多分享財(cái)富的方式，當(dāng)一方不能使用時(shí)，另一方也許可以。

聽著很熟悉嗎？

當(dāng)然熟悉，虛擬錢幣已經(jīng)控制了貨幣供給幾十年。

一路走來我們還要想到機(jī)構(gòu)間的標(biāo)準(zhǔn)、規(guī)則、聯(lián)邦，以及更多-所有這一切都是因?yàn)樨泿沤灰妆仨毣谛湃巍?/P>

沒有一個(gè)系統(tǒng)是十全十美的。

每一個(gè)系統(tǒng)都會(huì)被誤用，并帶來意想不到的后果。

可是我們會(huì)就此回到原始的物物交換嗎？

不太可能。

云計(jì)算將真正地完成由互聯(lián)網(wǎng)帶來的IT基礎(chǔ)架構(gòu)的變革。做為安全行業(yè)的從業(yè)者，我們必須領(lǐng)導(dǎo)這一變革，而不是做一個(gè)跟隨者。

我從業(yè)已經(jīng)15年，我認(rèn)為，我們已經(jīng)擁有能力去迎接這些挑戰(zhàn)，抓住更多機(jī)會(huì)。

祝大家一路好運(yùn)，祝本屆大會(huì)好遠(yuǎn)!

【編輯推薦】

1. 2010 RSA主題演講會(huì)：IdM技術(shù)和僵尸網(wǎng)絡(luò)保護(hù)策略
2. RSA總裁：云計(jì)算是徹底轉(zhuǎn)變安全交付方式的機(jī)會(huì)
3. 用心做安全 聯(lián)想網(wǎng)御第五次參加RSA大會(huì)