论文部分内容阅读
信息科技的下一个巨大挑战将是确保云的安全——并证明我们可以信任它。
2006年,亚马逊推出弹性计算云(Elastic Compute cloud,Ec2),这成为让计算能力向普遍应用转变的分水岭,就像电力一样。突然间,任何人都可以滚动翻阅一份在线菜单,迅速出示一张信用卡,尽可能多地租用所需的计算能力——按照固定的价格付费:起初,使用Linux系统为每小时10美分(从2008年开始,使用Windows系统为每小时12.5美分)。这些系统在“虚拟机”上运行,这些“虚拟机”可以被瞬间地创建和配置,在不需要时迅速消失。随着客户需求的增长,他们可以简单地将更多的业务放在这种计量器里。亚马逊会应付那些诸如维护数据中心和网络的麻烦事。当然,虚拟机是在实体中运行的:遍布世界的亚马逊数据中心聚集着数千台嗡嗡作响、闪烁着信号灯的服务器。云计算服务既高效又便宜,并且平等开放给个人、公司、研究机构和政府机关。
但是,它也造成潜在的威胁。EC2曾给民众带来一些仅存在于企业IT系统的麻烦:在工程中,类似臭氧发生器(Oz)技术的叫虚拟管理软件(hypervisor)的程序,创建并控制着虚拟处理器、网络和磁盘驱动器,许多虚拟管理器可以在相同的实体服务器上工作。计算机安全研究人员先前表示,当两个程序在同一个操作系统上同步运行时,攻击者可以通过窃听程序去分析这些程序共享存储空间的方式,来盗取数据。他们断定,当不同的虚拟机在相同的服务器上运行的时候,同样的攻击也可以在云中生效。
在一个云设置的巨大空间里,黑客恰好找到特定服务器中预期猎物的可能性看起来遥不可及。然而,今年,三位加州大学圣迭戈分校和一位麻省理工学院的计算机科学家取得进展并成功。他们租用一些虚拟机当作目标,另一些当作攻击者——并设法使两组都放在亚马逊数据中心的相同服务器上。最后,在40%的实验时间里,他们成功地将恶意虚拟机安置到作为目标的相同服务器里,全部工作只花了几美元。尽管他们实际上没有偷取数据,但研究人员说,这样的偷窃在理论上是可行的。而且,他们的演示证明了云计算的突出优点——易访问性、价格合理性、集中化和灵活性(可能带来新的不稳定因素)。亚马逊强调,没有人成功地以这种方法攻击过EC2,而且,亚马逊现在已经阻止了这种特定类型--的攻击(不过,它没有详细说明怎么阻拦,这可以理解)。但是,亚马逊还没有解决(现在没有人能够解决)云的规模和结构所固有的安全问题。
云计算——在互联网上传递的程序和服务——正在快速改变我们使用计算机的方式。例如,Gmail、Twitter和Facebook都是云应用。像基于网络设施服务的亚马逊,以及像托管公司Rackspace这样的供应商,它们都依靠高效和低价来吸引各个地区的企事业客户。现在,亚马逊云服务的长期客户包括《纽约时报》和辉瑞制药公司。而谷歌浏览器和刚刚面市的操作系统(都叫做Chrome),准备提供对云应用的便捷访问。
即使是动作迟缓的政府机关也在开展行动:洛杉矶市政府使用谷歌应用(G00gle Apps)服务,进行电子邮件和其它的日常应用业务,而白宫最近推出www.apps.gov网站,来鼓励联邦机构使用云服务。哈佛大学经济学家、研究信息科技对国家生产力的作用的专家戴尔·乔根森(Dale Jorgenson)表示,航空公司、零售商和金融行业都是从云计算中获益的例子。“IT革命的重点已经从硬件转移到了软件应用。”他说,“许多此类应用正在火热地发展,云计算将成为一个强大的促进技术,这些技术会让很多这样的人受益。”
当然,除非云服务能保证安全,否则,所有这些都不可能实现。它们并不是没有风险。当数千个不同客户大量使用相同的硬件时——这正是云计算提供高效性的关键,任何故障或入侵都会给众多客户带来毁灭性的打击。 “今天,你有这些巨无霸式的云供应商,并且,成千上万家公司也共同依附于云供应商。”纽约州立大学石溪分校的计算机科学家拉杜·西昂(Radu Sion)说, “如果大家都不使用云,你就不能得到便宜的服务。但是,当大家都使用云时,你必须马上解决这些安全问题。”
云危机
云计算实际上带来几个不同、但相关的风险。不仅储存的数据可能被黑客偷走或是因故障丢失,而且,一个云供应商可能会对客户数据处理不当——或者因为法院的传票而不得不交出这些数据。我们十分清楚,此类安全漏洞不只是学术试验的事情。2008年,在的亚马逊简单存储服务(s3)——提供以GB为单位的在线数据存储——中,服务器之间传递的消息仅仅是出现了一个比特的错误,就迫使该系统关闭了数个小时。2009年初,一名黑客成功猜出一位Twitter雇员个人邮箱安全问题的答案,从而获取了该雇员谷歌应用账户下的所有文件(该黑客洋洋得意地将一部分文件送给新闻媒体)。后来,一次故障损害了一些谷歌文件用户的文件分享限制。这些限制被清除了,任何共享文件访问权限的人,也可以看到你与其他人分享的文件。
2009年10月份,提供存储业务的微软子公司Danger的一次服务器故障后,一百万台通信服务公司T-Mobile的Sidekick智能手机丢失了数据(大部分数据随后恢复)。尤其那些在公共云中传递的应用, “对其攻击的面积非常非常大。”位于马里兰州盖瑟斯堡的国家标准和技术研究院(NIST)的云安全小组领导人彼得·梅尔(Peter Mell)说, “每个客户都已经有权使用这个应用中所有的节点和部件。如果它们有一处缺陷,那么(一个攻击者就可以)访问所有的数据。”
对于所有这些事情,云行业内人士的普遍回应是:云比你现在使用的任何服务都更加安全。谷歌应用服务安全主管埃伦·费根鲍姆(Eran Feigenbaum)说,相比于那些运行自己的计算机和拥有服务器机房的成百上千的个人和公司来说,云供应商在应对安全威胁方面能够更加有效,保持领先地位。至于被大肆渲染的谷歌文件故障,他指出,受影响的文件还没占到谷歌托管的文件的0.05%。“云的一个好处就是能够以快速、一致的方法去应对受到影响的人。”他说,“不需要用户安装任何软件,也不需要任何服务器维护,就可以修复全部错误。”考虑到传统方式对安全的破坏,他补充道:一次调查中,有三分之二的受访者承认曾经丢失过USB电子钥匙,其中很多人持有公司的秘密资料;2008年,美国至少两百万台笔记本电脑被盗;公司可能花费三至六个月的时间来安装紧急安全补丁,因为他们常常担心这些补丁会引发新的故障。“你不可能在获得百分之百安全性的同时,仍设法让这些东西可用。”他说, “如果你想要一个完全安全的系统,那就将计算机与任何的外部资源断开,不要放在网络中,远离窗户,锁进保险箱里,否则它不可能完全安全。”
但是,不是每个人都这么乐观。在2009年春天的一次 计算机安全会议上,思科公司的主席约翰·钱伯斯(John Chambers)称,云计算是“安全的噩梦”,“不能用传统的方法来处理它”。在同一个会议上,共同发明RSA公匙加密算法(已广泛使用于电子商务)的MIT计算机科学家罗纳德-李维斯特(Ron Rivest)说,“云计算”这个词也许最好用“沼泽计算”(swamp computing)来取代。他后来解释说,他认为消费者应该仔细审查云行业不痛不痒的安全声明。“我这么说的目的,并不是说云计算真的是‘沼泽计算’,而是该术语有一种影响我们认知和期望的方式。因此,如果我们停止使用“云计算”概念,而换作“沼泽计算”,那么就会发现,自己会对“沼泽计算供应商”提供的服务和安全保障更加好奇。”
类似的观点,如果简要地表述,NIST致力于去定义云计算是什么和如何做到安全性。“每个人对这个主题都感到困惑。”彼得·梅尔说。NIST正在制定该条目的第15版文件。“比较典型的对云概念的定义很模糊,因为这个定义足以容纳所有现存的现代信息科技。”他说, “而且,试图抛开其特有安全问题的话题,是有问题的。”NIST希望对这些我们关注的问题更清晰地定义,来帮助该行业形成一些共同标准(保证数据更加安全)。该机构也想让云能被共同使用,这样,用户就能够更简单地把他们的数据从一处移动到另一处,带来更高的效率。
如果考虑云行业的快速发展和当前安全标准的模糊,以及各种对云故障的传闻,那么许多公司对把敏感数据放人云中仍然采取旁观态度,就不令人意外了。
主管一个叫做星球实验室联盟(PlanetLab Consortium)的互联网实验平台、普林斯顿大学计算机科学家拉里·彼得森(Larty Peterson)说,虽然现在的安全性较好,但是云供应商将必须证明长期内云的可靠性。“云供应商可能拥有适当的安全机制,”彼得森说, “但是我能相信他不仅会保护我的第三方数据,而且不会利用我的数据,甚至在那里存放五年或十年都没关系吗?是的,有许多安全问题需要注意。但是技术本身是不够的,这方面的科技难以令人宽慰和信任。”
位于波士顿外的麻省萨默维尔的一家不知什么类型的数据中心,就是彼得森所说的技术不可信在现实中的例子。该中心属于一家叫做2N+l的小公司,这个小公司向其它公司提供低温地板辐射采暖、安全、电力和连接。第一层是12台黑色服务器机柜的集合,2N+1的联合创始人文森特·博诺(Vincent Bono)解释说,这些是他的第一个客户(一家全国性银行)的财产。它选择保留自己的服务器,而不是租用云的。对于安全性,该银行选择实实在在的方式:铁栅栏。
加密云
云供应商还没有虚拟的铁栅栏可以卖给你。但是至少,他们出于对法律规范或其它原因的考虑,保证把你的数据存放在像美国或欧盟的服务器里。他们正致力于虚拟墙的建设:2009年8月,亚马逊宣布提供一种“私有云”服务的计划,来确保公司网络向亚马逊服务器传送过程中的数据更安全(该公司说,这个行动不是针对圣迭戈大学和MIT研究团队的回应。按照亚马逊网络服务的副总裁亚当·塞利普斯基(AdamSelipsky)的说法,这件事只是“现有的一些客户和应用程序需要更高的安全水平,比我们现在提供的安全服务更强”)。
同时,新的安全技术正在形成。例如,一个来自微软的团队已经提出了一种方法,防止一个服务器上的虚拟机用户收集信息,它是通过监测相同服务器上的虚拟机对共享缓存的使用状况来做到这点的,而圣迭戈和MIT研究人员表明这是可行的。并且,IBM的研究人员已经提出一种新的安全机制,本质上,这种安全机制会在新的虚拟机进入云的时候搜查它们。软件会监测每个虚拟机,查看它们的运行模式,确保它的完整性,这在某种程度上通过探查它的代码来完成。这些技术可能准备在两三年内推向市场。
但是,要充分保障云计算的安全,就不可避免地落在密码学领域。当然,云用户已经可以通过加密数据来保护它不被泄露、盗窃,或者——也许尤其是——被云供应商交出来应对法庭传票。尽管,这种方法可能存在问题。存储在云中的加密文件不容易被搜索或检索到,而且很难对加密数据进行计算。现在,用户可以绕开这些问题,通过在不加密的云中留下他们的信息(“放在明处”),或者将加密的资料取回放人他们自己安全的计算机的保险柜里,在他们想用的时候再解密。实际来看,这限制了云的实用性。 “如果你在使用数据之前必须把它们全部下载,并移回到原始位置,面对我们今天如此庞大的计算机规模,这是不能接受的。”克里斯汀·劳特尔(Kristin Lauter)(她领导着微软研究院的一个密码研究团队)说。
然而,新兴的加密技术,可以在用户搜索、检索和进行计算的时候保护云中的数据。云计算更加吸引那些诸如银行和医疗等行业,因为它们需要安全地保护敏感的客户和病人信息。首先,几个研究团队已经研究出一些方法,这些方法使用分级加密,来提供访问加密云数据的不同层级的权限。例如,一个病人拥有他或她自己的电子医疗档案的主密匙,医生、保险公司和其他人可以获得子密匙(访问病人信息的某些部分)。
理想情况下,我们希望更加实际地处理那些需要被加密的敏感文件,比如医疗档案,如果它们由于黑客或云供应商的失误被暴露后,无心的察看者不会看到它们。 “云计算的主旨是,你希望能够将各种功能外包,但又不希望泄露隐私,所以你需要非常多功能的密码技术来实现。”纽约州约克镇IBM沃森研究中心的密码研究员克雷格-金特里(Craig Gentry)说, “这将涉及到比我们今天使用的密码学更加复杂的密码术。”
为了找到并检索出加密的文件,卡内基梅隆大学、加州大学伯克利分校和其他地区的团队正致力于新的搜索策略——通过给以加密云为基础的文件,标记上加密元数据(encrypted metadata)开始。执行搜索时,用户使用数学函数给搜索字串加密,使得字符串能够和加密元数据产生匹配。云中没有人能看见此文件,甚至使用到的搜索词也看不见。微软研究院最近推出一个理论模型,将几种加密技术缝合在一起,使加密的云更易于搜索。
同时,如何在不解密情况下处理加密数据的问题,已经困扰了研究人员数十年时间,直到金特里在2009年初取得突破。尽管基础数学有些复杂,但是金特里的技术使用一种叫做理想晶格(ideal lattice)的数学对象的帮助,来对加密数据进行计算。在他的方案中,任何类型的计算都可以对云中安全加密的数据进行处理。然后,云发布计算结果——当然,以加密的形式——让用户在云外进行解码。但缺点是:该进程消耗大量的计算能力,对于目前的云来说不切实际。 “我认为人们必须认识到它是什么,”IBM研究院负责安全的高级经理若西拉·拉奥(Josyula Rao)说, “这就像是莱特兄弟演示的第一家飞机”。但是,拉奥说,IBM和其他地方的 团队正努力使金特里的新算法更加有效。
风险和收益
如果云计算真的安全到足以发挥所有的潜力,新的让人头疼的问题仍可能出现。首先,即使云避开了普通黑客的攻击,但是仍可能成为互联网控制的中心,哈佛大学伯克曼互联网和社会研究中心的联合创始人、《互联网的未来——以及如何阻止它》(The Future of the Intemet-and How to Stop It)的作者乔纳森·齐特莱恩(Jonathan ZiRrain)警告说。他表示,监管者、法庭或野心勃勃的政府官员会很方便的管理和审查它们。
其次,云供应商自己可以制裁客户。比方说,著作权所有人施加压力,要求停止使用文件分享软件。齐特莱恩说:“对我而言,云安全最大的问题不是微软在Sidekick手机事件中丢失了你的数据。”更令他不安的是, “政府获取你数据的能力在增长,而针对这点的宪法保护在下降。政府审查的能力在增长,供应商或政府控制创新和压制真正破坏性事情的能力也在增长。”
齐特莱恩还担心,如果云主宰了我们对信息科技的使用,那么,它们可能转变成某种“围墙花园”(waHed gardens)——正如90年代中期互联网的特点,当时诸如Compuserve、Prodigy和美国在线(AOL)等公司只向老百姓提供有限的在线产品菜单,比如新闻、电子商务和电子邮件。他说,一旦人们选择了一个他们喜欢的云和应用——例如谷歌应用——他们就会发现自己只能有限地访问其它云中优秀的应用功能,就像Facebook用户不能与Myspace中的人联接。
但是,这些担忧不能阻挡云的优越性。并且,如果实现了云的安全,它的益处会大的惊人。 “在与云计算明显相关的地方,存在大的惊人的计算和数据库管理。”哈佛大学的戴尔·乔根森(Dale Jorgenson)说。想象一下,如果今天新兴的个人医疗数据的在线仓库(比如Google Health和Microsoft Health Vault),可以连接到数量不断增长的医院电子档案系统,以某种使私人数据一直受到保护的方法。形成的巨大医疗云,可以将现有的应用,廉价而有效地扩展到医疗行业的每个角落。例如,医生可以很简单地将病人的核磁共振扫描图像与全国其他病人进行对比,然后深入到巨大的数据库中,去分析治疗和预防措施的效果。“这方面的潜力是巨大的,因为在不久的将来,医学界将对大量医疗档案的收集进行几次转变。”阿尔贡国家实验室和芝加哥大学联合的计算研究所的负责人、计算机科学家伊恩·福斯特(Ian Foster)说。他指出,公众现在要求访问他们自己的医疗信息,同时,医疗机构在寻找新的基因组和其它数据资源。 “这两者结合,可因大规模信息分享而变得更有动力”他说, “也许你可以在云中使用它,但它面对着极具挑战的安全问题。”
一项新的信息科技带来巨大益处的同时,也带来潜在的难以容忍的安全风险,这已不是第一次。一个世纪之前,无线电的到来引起类似的争论,公匙密码学先驱之一威特菲尔德·迪菲(Whitfield Dfffie) (他现在是伦敦大学霍洛威学院的客座教授)说。无线电比它替代的技术——电报——更加灵活和强大,以至于你不得不利用它才能在商业战争中生存。但无线电的不利因素是它可以被任何人获取。在无线电的案例中,快速、自动的加密和解密技术代替了缓慢的人工译码,使得它的安全性足以兑现像它当初承诺的那样。云计算将经历一次相似的发展。“云是系统”,NIST的彼得·梅尔说,“而对于系统,你必须深入地思考和了解,如何处理这种环境下的问题。它的规模非常的大,而你没有实体控制。但是,我们认为,人们应该对我们现在能够做的感到乐观。如果我们善于使用云计算,对这些风险的类型有清晰透彻的理解,也许我们现实中可以通过技术来拯救经济。”
2006年,亚马逊推出弹性计算云(Elastic Compute cloud,Ec2),这成为让计算能力向普遍应用转变的分水岭,就像电力一样。突然间,任何人都可以滚动翻阅一份在线菜单,迅速出示一张信用卡,尽可能多地租用所需的计算能力——按照固定的价格付费:起初,使用Linux系统为每小时10美分(从2008年开始,使用Windows系统为每小时12.5美分)。这些系统在“虚拟机”上运行,这些“虚拟机”可以被瞬间地创建和配置,在不需要时迅速消失。随着客户需求的增长,他们可以简单地将更多的业务放在这种计量器里。亚马逊会应付那些诸如维护数据中心和网络的麻烦事。当然,虚拟机是在实体中运行的:遍布世界的亚马逊数据中心聚集着数千台嗡嗡作响、闪烁着信号灯的服务器。云计算服务既高效又便宜,并且平等开放给个人、公司、研究机构和政府机关。
但是,它也造成潜在的威胁。EC2曾给民众带来一些仅存在于企业IT系统的麻烦:在工程中,类似臭氧发生器(Oz)技术的叫虚拟管理软件(hypervisor)的程序,创建并控制着虚拟处理器、网络和磁盘驱动器,许多虚拟管理器可以在相同的实体服务器上工作。计算机安全研究人员先前表示,当两个程序在同一个操作系统上同步运行时,攻击者可以通过窃听程序去分析这些程序共享存储空间的方式,来盗取数据。他们断定,当不同的虚拟机在相同的服务器上运行的时候,同样的攻击也可以在云中生效。
在一个云设置的巨大空间里,黑客恰好找到特定服务器中预期猎物的可能性看起来遥不可及。然而,今年,三位加州大学圣迭戈分校和一位麻省理工学院的计算机科学家取得进展并成功。他们租用一些虚拟机当作目标,另一些当作攻击者——并设法使两组都放在亚马逊数据中心的相同服务器上。最后,在40%的实验时间里,他们成功地将恶意虚拟机安置到作为目标的相同服务器里,全部工作只花了几美元。尽管他们实际上没有偷取数据,但研究人员说,这样的偷窃在理论上是可行的。而且,他们的演示证明了云计算的突出优点——易访问性、价格合理性、集中化和灵活性(可能带来新的不稳定因素)。亚马逊强调,没有人成功地以这种方法攻击过EC2,而且,亚马逊现在已经阻止了这种特定类型--的攻击(不过,它没有详细说明怎么阻拦,这可以理解)。但是,亚马逊还没有解决(现在没有人能够解决)云的规模和结构所固有的安全问题。
云计算——在互联网上传递的程序和服务——正在快速改变我们使用计算机的方式。例如,Gmail、Twitter和Facebook都是云应用。像基于网络设施服务的亚马逊,以及像托管公司Rackspace这样的供应商,它们都依靠高效和低价来吸引各个地区的企事业客户。现在,亚马逊云服务的长期客户包括《纽约时报》和辉瑞制药公司。而谷歌浏览器和刚刚面市的操作系统(都叫做Chrome),准备提供对云应用的便捷访问。
即使是动作迟缓的政府机关也在开展行动:洛杉矶市政府使用谷歌应用(G00gle Apps)服务,进行电子邮件和其它的日常应用业务,而白宫最近推出www.apps.gov网站,来鼓励联邦机构使用云服务。哈佛大学经济学家、研究信息科技对国家生产力的作用的专家戴尔·乔根森(Dale Jorgenson)表示,航空公司、零售商和金融行业都是从云计算中获益的例子。“IT革命的重点已经从硬件转移到了软件应用。”他说,“许多此类应用正在火热地发展,云计算将成为一个强大的促进技术,这些技术会让很多这样的人受益。”
当然,除非云服务能保证安全,否则,所有这些都不可能实现。它们并不是没有风险。当数千个不同客户大量使用相同的硬件时——这正是云计算提供高效性的关键,任何故障或入侵都会给众多客户带来毁灭性的打击。 “今天,你有这些巨无霸式的云供应商,并且,成千上万家公司也共同依附于云供应商。”纽约州立大学石溪分校的计算机科学家拉杜·西昂(Radu Sion)说, “如果大家都不使用云,你就不能得到便宜的服务。但是,当大家都使用云时,你必须马上解决这些安全问题。”
云危机
云计算实际上带来几个不同、但相关的风险。不仅储存的数据可能被黑客偷走或是因故障丢失,而且,一个云供应商可能会对客户数据处理不当——或者因为法院的传票而不得不交出这些数据。我们十分清楚,此类安全漏洞不只是学术试验的事情。2008年,在的亚马逊简单存储服务(s3)——提供以GB为单位的在线数据存储——中,服务器之间传递的消息仅仅是出现了一个比特的错误,就迫使该系统关闭了数个小时。2009年初,一名黑客成功猜出一位Twitter雇员个人邮箱安全问题的答案,从而获取了该雇员谷歌应用账户下的所有文件(该黑客洋洋得意地将一部分文件送给新闻媒体)。后来,一次故障损害了一些谷歌文件用户的文件分享限制。这些限制被清除了,任何共享文件访问权限的人,也可以看到你与其他人分享的文件。
2009年10月份,提供存储业务的微软子公司Danger的一次服务器故障后,一百万台通信服务公司T-Mobile的Sidekick智能手机丢失了数据(大部分数据随后恢复)。尤其那些在公共云中传递的应用, “对其攻击的面积非常非常大。”位于马里兰州盖瑟斯堡的国家标准和技术研究院(NIST)的云安全小组领导人彼得·梅尔(Peter Mell)说, “每个客户都已经有权使用这个应用中所有的节点和部件。如果它们有一处缺陷,那么(一个攻击者就可以)访问所有的数据。”
对于所有这些事情,云行业内人士的普遍回应是:云比你现在使用的任何服务都更加安全。谷歌应用服务安全主管埃伦·费根鲍姆(Eran Feigenbaum)说,相比于那些运行自己的计算机和拥有服务器机房的成百上千的个人和公司来说,云供应商在应对安全威胁方面能够更加有效,保持领先地位。至于被大肆渲染的谷歌文件故障,他指出,受影响的文件还没占到谷歌托管的文件的0.05%。“云的一个好处就是能够以快速、一致的方法去应对受到影响的人。”他说,“不需要用户安装任何软件,也不需要任何服务器维护,就可以修复全部错误。”考虑到传统方式对安全的破坏,他补充道:一次调查中,有三分之二的受访者承认曾经丢失过USB电子钥匙,其中很多人持有公司的秘密资料;2008年,美国至少两百万台笔记本电脑被盗;公司可能花费三至六个月的时间来安装紧急安全补丁,因为他们常常担心这些补丁会引发新的故障。“你不可能在获得百分之百安全性的同时,仍设法让这些东西可用。”他说, “如果你想要一个完全安全的系统,那就将计算机与任何的外部资源断开,不要放在网络中,远离窗户,锁进保险箱里,否则它不可能完全安全。”
但是,不是每个人都这么乐观。在2009年春天的一次 计算机安全会议上,思科公司的主席约翰·钱伯斯(John Chambers)称,云计算是“安全的噩梦”,“不能用传统的方法来处理它”。在同一个会议上,共同发明RSA公匙加密算法(已广泛使用于电子商务)的MIT计算机科学家罗纳德-李维斯特(Ron Rivest)说,“云计算”这个词也许最好用“沼泽计算”(swamp computing)来取代。他后来解释说,他认为消费者应该仔细审查云行业不痛不痒的安全声明。“我这么说的目的,并不是说云计算真的是‘沼泽计算’,而是该术语有一种影响我们认知和期望的方式。因此,如果我们停止使用“云计算”概念,而换作“沼泽计算”,那么就会发现,自己会对“沼泽计算供应商”提供的服务和安全保障更加好奇。”
类似的观点,如果简要地表述,NIST致力于去定义云计算是什么和如何做到安全性。“每个人对这个主题都感到困惑。”彼得·梅尔说。NIST正在制定该条目的第15版文件。“比较典型的对云概念的定义很模糊,因为这个定义足以容纳所有现存的现代信息科技。”他说, “而且,试图抛开其特有安全问题的话题,是有问题的。”NIST希望对这些我们关注的问题更清晰地定义,来帮助该行业形成一些共同标准(保证数据更加安全)。该机构也想让云能被共同使用,这样,用户就能够更简单地把他们的数据从一处移动到另一处,带来更高的效率。
如果考虑云行业的快速发展和当前安全标准的模糊,以及各种对云故障的传闻,那么许多公司对把敏感数据放人云中仍然采取旁观态度,就不令人意外了。
主管一个叫做星球实验室联盟(PlanetLab Consortium)的互联网实验平台、普林斯顿大学计算机科学家拉里·彼得森(Larty Peterson)说,虽然现在的安全性较好,但是云供应商将必须证明长期内云的可靠性。“云供应商可能拥有适当的安全机制,”彼得森说, “但是我能相信他不仅会保护我的第三方数据,而且不会利用我的数据,甚至在那里存放五年或十年都没关系吗?是的,有许多安全问题需要注意。但是技术本身是不够的,这方面的科技难以令人宽慰和信任。”
位于波士顿外的麻省萨默维尔的一家不知什么类型的数据中心,就是彼得森所说的技术不可信在现实中的例子。该中心属于一家叫做2N+l的小公司,这个小公司向其它公司提供低温地板辐射采暖、安全、电力和连接。第一层是12台黑色服务器机柜的集合,2N+1的联合创始人文森特·博诺(Vincent Bono)解释说,这些是他的第一个客户(一家全国性银行)的财产。它选择保留自己的服务器,而不是租用云的。对于安全性,该银行选择实实在在的方式:铁栅栏。
加密云
云供应商还没有虚拟的铁栅栏可以卖给你。但是至少,他们出于对法律规范或其它原因的考虑,保证把你的数据存放在像美国或欧盟的服务器里。他们正致力于虚拟墙的建设:2009年8月,亚马逊宣布提供一种“私有云”服务的计划,来确保公司网络向亚马逊服务器传送过程中的数据更安全(该公司说,这个行动不是针对圣迭戈大学和MIT研究团队的回应。按照亚马逊网络服务的副总裁亚当·塞利普斯基(AdamSelipsky)的说法,这件事只是“现有的一些客户和应用程序需要更高的安全水平,比我们现在提供的安全服务更强”)。
同时,新的安全技术正在形成。例如,一个来自微软的团队已经提出了一种方法,防止一个服务器上的虚拟机用户收集信息,它是通过监测相同服务器上的虚拟机对共享缓存的使用状况来做到这点的,而圣迭戈和MIT研究人员表明这是可行的。并且,IBM的研究人员已经提出一种新的安全机制,本质上,这种安全机制会在新的虚拟机进入云的时候搜查它们。软件会监测每个虚拟机,查看它们的运行模式,确保它的完整性,这在某种程度上通过探查它的代码来完成。这些技术可能准备在两三年内推向市场。
但是,要充分保障云计算的安全,就不可避免地落在密码学领域。当然,云用户已经可以通过加密数据来保护它不被泄露、盗窃,或者——也许尤其是——被云供应商交出来应对法庭传票。尽管,这种方法可能存在问题。存储在云中的加密文件不容易被搜索或检索到,而且很难对加密数据进行计算。现在,用户可以绕开这些问题,通过在不加密的云中留下他们的信息(“放在明处”),或者将加密的资料取回放人他们自己安全的计算机的保险柜里,在他们想用的时候再解密。实际来看,这限制了云的实用性。 “如果你在使用数据之前必须把它们全部下载,并移回到原始位置,面对我们今天如此庞大的计算机规模,这是不能接受的。”克里斯汀·劳特尔(Kristin Lauter)(她领导着微软研究院的一个密码研究团队)说。
然而,新兴的加密技术,可以在用户搜索、检索和进行计算的时候保护云中的数据。云计算更加吸引那些诸如银行和医疗等行业,因为它们需要安全地保护敏感的客户和病人信息。首先,几个研究团队已经研究出一些方法,这些方法使用分级加密,来提供访问加密云数据的不同层级的权限。例如,一个病人拥有他或她自己的电子医疗档案的主密匙,医生、保险公司和其他人可以获得子密匙(访问病人信息的某些部分)。
理想情况下,我们希望更加实际地处理那些需要被加密的敏感文件,比如医疗档案,如果它们由于黑客或云供应商的失误被暴露后,无心的察看者不会看到它们。 “云计算的主旨是,你希望能够将各种功能外包,但又不希望泄露隐私,所以你需要非常多功能的密码技术来实现。”纽约州约克镇IBM沃森研究中心的密码研究员克雷格-金特里(Craig Gentry)说, “这将涉及到比我们今天使用的密码学更加复杂的密码术。”
为了找到并检索出加密的文件,卡内基梅隆大学、加州大学伯克利分校和其他地区的团队正致力于新的搜索策略——通过给以加密云为基础的文件,标记上加密元数据(encrypted metadata)开始。执行搜索时,用户使用数学函数给搜索字串加密,使得字符串能够和加密元数据产生匹配。云中没有人能看见此文件,甚至使用到的搜索词也看不见。微软研究院最近推出一个理论模型,将几种加密技术缝合在一起,使加密的云更易于搜索。
同时,如何在不解密情况下处理加密数据的问题,已经困扰了研究人员数十年时间,直到金特里在2009年初取得突破。尽管基础数学有些复杂,但是金特里的技术使用一种叫做理想晶格(ideal lattice)的数学对象的帮助,来对加密数据进行计算。在他的方案中,任何类型的计算都可以对云中安全加密的数据进行处理。然后,云发布计算结果——当然,以加密的形式——让用户在云外进行解码。但缺点是:该进程消耗大量的计算能力,对于目前的云来说不切实际。 “我认为人们必须认识到它是什么,”IBM研究院负责安全的高级经理若西拉·拉奥(Josyula Rao)说, “这就像是莱特兄弟演示的第一家飞机”。但是,拉奥说,IBM和其他地方的 团队正努力使金特里的新算法更加有效。
风险和收益
如果云计算真的安全到足以发挥所有的潜力,新的让人头疼的问题仍可能出现。首先,即使云避开了普通黑客的攻击,但是仍可能成为互联网控制的中心,哈佛大学伯克曼互联网和社会研究中心的联合创始人、《互联网的未来——以及如何阻止它》(The Future of the Intemet-and How to Stop It)的作者乔纳森·齐特莱恩(Jonathan ZiRrain)警告说。他表示,监管者、法庭或野心勃勃的政府官员会很方便的管理和审查它们。
其次,云供应商自己可以制裁客户。比方说,著作权所有人施加压力,要求停止使用文件分享软件。齐特莱恩说:“对我而言,云安全最大的问题不是微软在Sidekick手机事件中丢失了你的数据。”更令他不安的是, “政府获取你数据的能力在增长,而针对这点的宪法保护在下降。政府审查的能力在增长,供应商或政府控制创新和压制真正破坏性事情的能力也在增长。”
齐特莱恩还担心,如果云主宰了我们对信息科技的使用,那么,它们可能转变成某种“围墙花园”(waHed gardens)——正如90年代中期互联网的特点,当时诸如Compuserve、Prodigy和美国在线(AOL)等公司只向老百姓提供有限的在线产品菜单,比如新闻、电子商务和电子邮件。他说,一旦人们选择了一个他们喜欢的云和应用——例如谷歌应用——他们就会发现自己只能有限地访问其它云中优秀的应用功能,就像Facebook用户不能与Myspace中的人联接。
但是,这些担忧不能阻挡云的优越性。并且,如果实现了云的安全,它的益处会大的惊人。 “在与云计算明显相关的地方,存在大的惊人的计算和数据库管理。”哈佛大学的戴尔·乔根森(Dale Jorgenson)说。想象一下,如果今天新兴的个人医疗数据的在线仓库(比如Google Health和Microsoft Health Vault),可以连接到数量不断增长的医院电子档案系统,以某种使私人数据一直受到保护的方法。形成的巨大医疗云,可以将现有的应用,廉价而有效地扩展到医疗行业的每个角落。例如,医生可以很简单地将病人的核磁共振扫描图像与全国其他病人进行对比,然后深入到巨大的数据库中,去分析治疗和预防措施的效果。“这方面的潜力是巨大的,因为在不久的将来,医学界将对大量医疗档案的收集进行几次转变。”阿尔贡国家实验室和芝加哥大学联合的计算研究所的负责人、计算机科学家伊恩·福斯特(Ian Foster)说。他指出,公众现在要求访问他们自己的医疗信息,同时,医疗机构在寻找新的基因组和其它数据资源。 “这两者结合,可因大规模信息分享而变得更有动力”他说, “也许你可以在云中使用它,但它面对着极具挑战的安全问题。”
一项新的信息科技带来巨大益处的同时,也带来潜在的难以容忍的安全风险,这已不是第一次。一个世纪之前,无线电的到来引起类似的争论,公匙密码学先驱之一威特菲尔德·迪菲(Whitfield Dfffie) (他现在是伦敦大学霍洛威学院的客座教授)说。无线电比它替代的技术——电报——更加灵活和强大,以至于你不得不利用它才能在商业战争中生存。但无线电的不利因素是它可以被任何人获取。在无线电的案例中,快速、自动的加密和解密技术代替了缓慢的人工译码,使得它的安全性足以兑现像它当初承诺的那样。云计算将经历一次相似的发展。“云是系统”,NIST的彼得·梅尔说,“而对于系统,你必须深入地思考和了解,如何处理这种环境下的问题。它的规模非常的大,而你没有实体控制。但是,我们认为,人们应该对我们现在能够做的感到乐观。如果我们善于使用云计算,对这些风险的类型有清晰透彻的理解,也许我们现实中可以通过技术来拯救经济。”