云安全聯(lián)盟(CSA)近日針對軟件定義網(wǎng)絡(luò)和云環(huán)境，提出了一個創(chuàng)新的加密安全架構(gòu)，該架構(gòu)的某些靈感來自美國國防部和情報機(jī)構(gòu)所使用的高安全性網(wǎng)絡(luò)。

CSA提出的這個叫做“軟件定義邊界”的架構(gòu)采用了類似VPN的認(rèn)證和加密方法，利用一個安全流程便可嚴(yán)格地確定云環(huán)境中的服務(wù)和應(yīng)用的有效性。在上周召開的CSA大會上，參與該架構(gòu)制定的一些技術(shù)作者稱此架構(gòu)為“軟件定義邊界”，其使命是為云安全建立最佳實(shí)踐和相關(guān)標(biāo)準(zhǔn)。

[[91628]]

我們認(rèn)為軟件定義邊界可能會成為規(guī)則改變者。需要做的正確事情就是把它交給開源社區(qū)，讓云計算不再是你必須考慮的一件事情。

——Bob Flores，美國中情局前任CTO

在他們看來，云服務(wù)的興起加速了企業(yè)對傳統(tǒng)網(wǎng)絡(luò)邊界的不滿，因此必須采用新的方法來保護(hù)在云數(shù)據(jù)中心、企業(yè)網(wǎng)絡(luò)和移動設(shè)備間共享的數(shù)據(jù)。

“這個創(chuàng)新架構(gòu)的一部分是提出了一種易于調(diào)整的方式去調(diào)整邊界，”美國中情局前任CTO Bob Flores說。他也是“軟件定義邊界”架構(gòu)文檔的編撰者之一。CSA所提出的這個概念有可能改變?nèi)?、?yīng)用和數(shù)據(jù)流的授權(quán)認(rèn)證方式，會在接入網(wǎng)絡(luò)之前便要求進(jìn)行認(rèn)證。

“軟件定義邊界”所使用的技術(shù)包括基于數(shù)字證書交換的所謂“mutual TLS”以及強(qiáng)認(rèn)證加密等，Vidder公司的CTO Jamaid Islam解釋道。他也是“軟件定義邊界”架構(gòu)文檔的編撰者之一。該架構(gòu)文檔的其他編撰者還有可口可樂公司企業(yè)架構(gòu)與新興技術(shù)總監(jiān)Alan Boehme，Verizon首席創(chuàng)新架構(gòu)師Jeff Schweitzer。

Vidder的Islam稱，CSA的這一概念對于實(shí)現(xiàn)強(qiáng)大的云安全來說是很理想的。這個直接源自美國國防部高安全性網(wǎng)絡(luò)的方法能夠嵌入目前市面上出現(xiàn)的各種SDN產(chǎn)品中去。CSA這一計劃的優(yōu)勢在于，它能夠?qū)崿F(xiàn)一個所謂“黑箱”網(wǎng)絡(luò)，即在互聯(lián)網(wǎng)上看不到的網(wǎng)絡(luò)，因而也更難以對其進(jìn)行攻擊。

“國防部的網(wǎng)絡(luò)就是個黑箱，”Flores說。“要對其加以攻擊非常困難，因?yàn)閷?shí)際上人們根本不知道它的存在，也根本看不到它的界面。”

Vidder的Islam承認(rèn)，CSA的這一概念能否成功取決于密鑰管理結(jié)構(gòu)能否及時到位。他說，這里可能就是云服務(wù)提供商可以發(fā)揮作用的地方，會有越來越多的云服務(wù)商為其客戶提供各種硬件安全模塊(HSM)。但企業(yè)客戶還是會在企業(yè)內(nèi)維持他們自己的密鑰管理流程。Islam說他的企業(yè)就構(gòu)建了這種高安全網(wǎng)絡(luò)為私營企業(yè)提供服務(wù)。

Flores說有家大企業(yè)目前正在其生產(chǎn)環(huán)境中使用CSA的“軟件定義邊界”，而明年將舉辦的RSA大會上也將會看到更多的關(guān)于行業(yè)支持這一概念的新聞。CSA計劃讓“軟件定義邊界”軟件作為開源軟件供公眾采用。

“我們認(rèn)為軟件定義邊界可能會成為規(guī)則改變者。需要做的正確事情就是把它交給開源社區(qū)，讓云計算不再是你必須考慮的一件事情。”