【IT168 评论】在IT行业,每隔十年左右,就会出现一次可能重构市场、改写未来的技术变革,云计算正是这样一种革命性的机会。随着2013年5月22日,微软在上海举办了Windows Azure在华运营重要活动,开启了微软公有云Windows Azure的中国云图,中国将全面进入云实践时代。
然而,就像安全隐私是互联网时代最大的挑战,它同样也是云计算时代最为严峻的挑战。安全是普及云计算必不可少的组成部分,云计算技术架构和基于其上的新商业模式也对安全和隐私提出了新的要求。由于云计算的核心是资源的公有和共享,这就必然带来了对安全和隐私的新思维。
采用安全开发生命周期
2002年,微软公司在全公司范围内启动了可信赖计算工程,提出了可信赖计算环境的重要性,把信息产品和服务的安全性、隐私保护、可靠性和诚信业务实践作为四大重点方向。自2004年起,考虑到安全和隐私,微软将所有产品和服务都从头进行设计和开发,利用微软可信赖计算开发的安全开发生命周期(SDL),编写更安全、可靠并加强隐私的代码,开发更能抵抗恶意攻击的软件产品。
安全开发生命周期(SDL)是由微软可信赖计算部门开发的一个完整、全面的流程,用来编写更安全和加强隐私的代码,并实现更可靠的产品和服务,使安全、隐私和可靠性从最初设计阶段就被融入微软产品。微软对所有新入职的开发人员进行SDL培训,无论开发人员的经验如何,每年都要接受关于最新安全开发技术的强制性培训。在开发流程中,必须提交产品和服务进行常规SDL审查,以确保流程符合要求,只有通过最终SDL审查的软产品和服务才能向市场发行。
微软安全开发生命周期体现了一个基本信念,即与合作伙伴及其它厂商共享安全开发非常好的实践、专业知识和技能技巧,以便更安全地开发软件和硬件,从而令整个生态系统受益。微软设计的安全开发生命周期,能够应用于任何平台,并与整个行业免费共享SDL方法和工具。
如今,安全开发生命周期被广泛视作行业非常好的实践,并被印度政府以及包括Adobe和思科在内的政府及商业机构采用,作为其安全开发方案的基础。自2004年上线起,微软的安全开发生命周期工具和资源已被150多个国家和地区的开发者下载了超过100万次。
除安全开发生命周期非常好的实践外,微软保护客户隐私的义务也是从头开始的。微软根据一系列名为“微软开发隐私标准”的准则来开发并部署产品和服务,并采用“人们有权控制自己信息的使用方式”这一观点的强大隐私保护标准,。
完整的安全运营
互联世界意味着能够跨越移动与桌面计算设备、网络、企业系统和云中的软件,进行无缝工作和通信。微软创建了一个高度可用、可扩展的云平台来支持这一数字生态系统,并提供可靠、可预测的在线服务。
自1989年以来,微软已投资数十亿美元构建全球基础设施来提供云服务,并不断对其进行扩展,提供可靠的容量来满足云计算的需求。微软的数据中心在设计和构建方面满足既遵守地区法律,又遵守公司本身严格的安全隐私政策的国际公认标准。它们符合各种认证,其中包括:ISO 27001、PCI数据安全标准、SAS 70 Type 2、EU Model Clauses、HIPPAA BAA和 FISMA。为了向客户提供更高级别的透明度,微软定期提交由独立机构所做的审计(如德勤和英国标准协会),并与客户分享审计结果。任何云服务在微软数据中心里运行之前,都要进行完整的安全审查流程,其中包括网络和服务器配置等方面,以确保安全部署。
微软安全措施可保护客户数据的完整性,弹性系统可管理网络故障,并在出现故障的情况下有效恢复。微软还开发了行业领先的工程实践,旨在提供高度可靠的云技术。公司创建弹性服务来减轻事故,并最大程度降低或避免事故对客户的潜在影响。微软的可靠性承诺不仅局限于开发可靠的产品和服务。公司对可靠性的长期重视也基于其对人才的投资,其中包括设置首席可靠战略官。
在灾难恢复方面,微软采用完整的灾难恢复计划来帮助确保云服务的连贯性,并减轻任何潜在数据损失的影响。微软安全事故管理团队和微软运营中心通过设在全球多个地区的团队全天候运营,每个地区的团队都具有灾难期间进行故障转移的能力。微软安全工程师随时待命,一出现问题就分流并升级到专家坐席来解决问题。微软对预先规划的重视,让企业能够有效、全面地应对意外事件,主动应对方式再加上大量全球资源的协调能力,是微软“成为可信合作伙伴”的核心。
云时代的安全也是新机遇
传统的观念认为安全与隐私是云计算普及的阻力,然而2002年5月一项由微软资助的调查报告显示,安全与隐私反而成为企业,特别是中小企业采用云计算的动力之一。
该报告称,通过采用云服务,企业平均每周可减少18个小时的安全管理时间。这是因为大部分的安全管理是由云服务商进行的,虽然云计算不能取消企业内部对补丁管理的需要,但对于安全管理的时间投入将大为减少。因为云服务可以定期打补丁、进行系统升级,所以云服务反而提高并安全性、同时降低成本。报告称,在调查报告之前的三年间,使用了云服务的企业与没有使用云服务的企业相比,安全支出降低了5倍之多。
微软大中华区云战略官谢恩伟表示:“对那些采用了云服务的企业来说,他们所获得的收益远远高于之前的顾虑。特别是对于中小企业来说,通过采用云服务商定期的安全服务,他们能在安全和隐私方面节约大量的时间和IT成本,并将这些节约下来的时间和成本重新投入到业务中,获得‘复利效应’。”
综上所述,微软的云安全实践主要包括:制订安全策略、统筹云安全工作,使安全早期进入云架构设计;建立数据中心物理安全;基础架构安全设计审评;系统和应用软件的安全开发生命周期(SDL);服务运营安全;以及设计实施IT安全方;建立高可用云系统等。
除了上述云安全实践外,微软还积极加入了云安全的产业实践。2008年成立的云安全联盟(CSA),是世界性行业组织。目前,云安全联盟的成员包括微软、亚马逊、谷歌、英特尔、甲骨文、赛门铁克、华为等全球云计算领军企业。通过生态系统的合作,微软Windows Azure正推动企业从被动的云安全,走向主动设计的安全云,把挑战变成机遇,在云时代创造安全的“复利效应”。