云安全和SLA依然是RSA大会焦点

在本周召开的RSA大会上，云计算仍是大家最为关注的话题。在主题发言时、分组讨论中、午餐期间，甚至是在休息室里，到处都是关于云计算的声音。

讨论的焦点集中在：1.是否有可能将现有的安全法规和细则移植到云计算中来？2.如果云供应商出现单点故障，我们怎么才能知道哪些厂商值得信任，哪些厂商不值得信任？3.一些关于云计算SLA的问题，许多人认为现有的SLA对于IT工作站而言还不够完善。

“整合的同时也就预示着风险的产生，在经历过金融危机之后，银行业已经深切地意识到了这一问题。”Jack Henry Associates银行业IT整合和咨询公司信息安全工程师Brian Koval说。他表示，他们公司建议银行业也与公众一起采用公共云计算服务，而不是构建内部云架构。

在分组讨论会议上，一位IT从业者表示云供应商需要相关法规来参考。

“没有哪个供应商敢说自己已经足够强大而不会犯错，”Koval说。金融行业就是一个很好的例子，政府总是会对大的银行进行扶植，帮助他们摆脱金融危机，否则就会对整个经济造成灾难性的破坏。

一切都是信任问题

美国财政部IT专家Christopher Squires表示，信任是云计算面临的最大问题。

“我们控制着所有的服务器，我们没必要去担心哪些问题会失控。”他说。

这一观点也得到了其他一些IT专家的认可。JPMorgan Chase公司风险主管Stan Szwalbenest表示，银行所运行的大多数系统“都在我们的控制范围之内”。

他们真正担心的是云服务供应商能否在一年或稍长一点的时间内将服务完善，以及他们如何解决单点故障问题。“我在云中如何去处理这一问题。”

VMware高级云安全经理Vishal Kumar认为，银行业需要提供一项身份鉴别和访问服务，将用户安全地移到云中，“而不需要IT部门对其进行处理”。他表示，在企业IT工作站真正能够接受云服务之前，这种云服务审查机制仍然是缺失的。

美国国家安全局信息确认部门技术主管Brian Snow表示，拥有“活力”是云计算的最大优势，但这与大多数企业IT安全部门的要求是相违背的，他们要求“对基础设施拥有完全的控制力”，从而能够有东西反馈给审核部门。

云计算SLA的重要性

Snow建议正在考虑云计算服务的广大IT工作站能够仔细的核查一下他们的SLA协议。

“对于律师们而言，他们对类似的合同还很陌生。”他说。

一位运行大型零售网站的IT主管表示他们和渴望将自己的系统运行在亚马逊的AWS平台上，但是“他们根本无法提供足够的SLA”。

Seacliff Partners是一家企业业务连续性和安全咨询公司，然而，具有讽刺意味的是，其创始人Ron LaPedis根本没有仔细阅读关于网络托管的SLA，最后遭受了严重的停电事故。他建议那些将业务托管在云中的企业考虑将数据备份到另一个不同的服务供应商。

如何看待关于云计算的宣传？

Mitre公司首席工程师表示，所有人都在跟随云计算的大潮，DoD的IT人员也不例外。

“他们每天都在吹嘘云计算这好那好，而实际上没有几个人有这方面的运营经验。云计算在某些领域的确很有意义，但我们仔细想想看，那只是一个激励用户购买付的一个因素而已，并不一定能真的省钱。”他说。

“两年前，所有人都在念叨SOA，而SOA并没有给我们节省多少成本。”