旧金山——经过多年的浮云与产品完善，安全技术以及云计算安全产品终于问世了。然而，保障企业IT组织安全的专家们似乎对此并不感冒。

　　对抗恶意软件对本周参加RSA会议的出席者们仍旧是一个问题。

　　“如果我们的系统被恶意软件感染，这将会是一个严重的问题。”NASA的安全工程师Peter Tam表示。他投入大量时间在保护NASA上。“云计算是很有趣。”他补充说：“但还没有影响到我目前的工作。”

　　“云计算是未来的产物，现如今的它还是个黑洞。”万豪国际（Marriott International）的技术分析师主管Mike Myers回应说。在他看来，最首要的是监控客户机和内部系统，对抗恶意软件。这也反映出，万豪使用了云供应商来托管它的网站导航。

　　“这些都不是什么敏感信息；我们是不会把敏感信息放到云计算中的。”Myers表示。

　　在这些安全务实者眼中，信任依旧是云计算的一道坎。

　　“我不了解你，你不了解我。” BlackRidge Technology的首席平台架构师Andy Gram谈到：“如果云计算是这样，我为什么要把敏感信息放到这儿？”BlackRidge正构建一些产品，这些产品在云计算中提供基于身份的跳转与路由。

　　安全顾问John Kinsella表示，云服务的可扩展性对于安全专家也是令人担心的问题。标准安全模型不适合云计算，大部分安全产品对云计算式的自动化都“过敏”，他们没有考虑到一些人可能每天启动和关闭实体服务器几百次。现有的安全产品被设计在内部进行检查，审查和报告，Kinsella谈到。

　　萌生新型云安全工具

　　在这次会议上，RSA推出了Trusted Cloud Authority服务，该服务宣称要将建立信任的责任从用户转移到云提供者，它将作为托管安全的媒介与规范化服务。Beta版本包括了身份验证和法规服从，并将于2011年下半年问世，但是该服务的具体细节还不得而知。

　　围绕虚拟机（VM）的一些改进安全方法正浮出水面，供应商试图寻求新方法，希望像基础设施那样为云计算提供安全服务，以实现自动化减少用户参与。

　　像Kinsella这样的专家指出：对基础设施使用云计算不会改善现有的安全问题。纯粹的基础设施即服务（IaaS）相比传统的部署造成安全操作上不是冗余就是危险。两三台的物理服务器很可能运行着数百台的虚拟服务器；他们可能都有公网IP地址；不论你选择什么样的操作系统，打补丁以及不间断地监控漏洞都是必须的。

　　大部分常用的监控操作系统技术与工具面对如今的挑战都不理想：OS可以自己升级，但不是100%的可靠。相比少数VMs，独立监控每个系统的负担会相当沉重。在基础镜像上的一个小错误，在经过数百次的复制很可能成为巨大的漏洞。脚本，警告和手动检查都将会是繁重的工作，特别是云计算更被期望去避免这些。

　　“这将花费大量的人时来预处理和管理系统。”StrongMail的CEO McQuillen谈到，StrongMail是电子邮件基础设施与邮件发送服务。StrongMail面临典型的云安全问题，它运行针对性高的服务（email），服务全部在线交付，并基本上都跑在IaaS平台上。McQuillen表示，StrongMail在云计算上的弱点面积正在逐步扩大。

　　监控虚拟网络，只要调节了规模大小就需要挨个系统一遍又一遍地做同样的安全流程，完全是低效率的苦力活。为了减轻负担，StrongMail求助于一家新兴企业CloudPassage，它为每台StrongMail的Linux实例安装代理，并把自动化地监控系统作为服务。漏洞修复与报告也实现了自动化。CloudPassage还为每台机器提供了“配置即服务”与基于Linux的软件防火墙。

　　这不是什么革命性技术，McQuillen谈到，这些创新，绝大部分的管理员都能想到。但是CloudPassage包装它并定价销售，相比自己动手做，McQuillen更喜欢这种投资方式。

　　“这里有大量的解决方案与开源代码帮你实现，但它却是最容易简单的方式。”他说。

　　CloudPassage没有替代任何McQuillen的传统软件与设备，诸如防病毒软件和入侵检测，它只是减轻了因使用云计算而加重的基础设施问题。正确地命中了这一有效云计算安全问题：如何有效保护防火墙以外的主机。

　　在云中的法规遵从和审计

　　“我们看到最广泛的方式是每租户实例保护；大量用户要求他们的环境高度可控。”Carpathia Hosting的CTO Jon Greaves谈到，Carpathia Hosting服务于高度管制的政府用户与医疗用户。他们要求云计算服从联邦政策和法律。Greaves谈到，他们在法规遵从和审计需求上没有回旋的余地。

　　Greaves谈到，在标准范围防护上，大部分云计算操作几乎耗尽了他们的安全资源，但距离符合标准还有很长一段路。像Amazon Web Services（AWS）这样的公共云服务有很好的跟踪记录，他们还有黑箱安全。但并不适合企业和审计员，Carpathia会提供Vyatta的虚拟化安全设备处理这些问题。

　　运行云计算，Greaves注意到，也有优势：“云计算给了我们可重复的平台，对一种平台我们可以一次性建立安全设备，用户则可按需要多次使用。”

　　Greaves也谈到，云计算使一些老方法重焕生机。举个例子，原来跟踪过程与程序的Information Technology Infrastructure Library（ITIL）指南可有效地帮助跟踪可替换的云计算资源。Carpathia使用ITIL技术来满足对虚拟化和云环境审计的需求，Greaves承认效率不高。

　　眼下，他祈祷有天像CloudAudit与行业标准这样的安全自动化努力能被接受：“我可等不到所有人都使用同样的方法。”