云安全聯(lián)盟(CSA)近日針對(duì)軟件定義網(wǎng)絡(luò)和云環(huán)境，提出了一個(gè)創(chuàng)新的加密安全架構(gòu)，該架構(gòu)的某些靈感來自美國(guó)國(guó)防部和情報(bào)機(jī)構(gòu)所使用的高安全性網(wǎng)絡(luò)。

　　CSA提出的這個(gè)叫做“軟件定義邊界”的架構(gòu)采用了類似VPN的認(rèn)證和加密方法，利用一個(gè)安全流程便可嚴(yán)格地確定云環(huán)境中的服務(wù)和應(yīng)用的有效性。在上周召開的CSA大會(huì)上，參與該架構(gòu)制定的一些技術(shù)作者稱此架構(gòu)為“軟件定義邊界”，其使命是為云安全建立最佳實(shí)踐和相關(guān)標(biāo)準(zhǔn)。
在他們看來，云服務(wù)的興起加速了企業(yè)對(duì)傳統(tǒng)網(wǎng)絡(luò)邊界的不滿，因此必須采用新的方法來保護(hù)在云數(shù)據(jù)中心、企業(yè)網(wǎng)絡(luò)和移動(dòng)設(shè)備間共享的數(shù)據(jù)。

　　“這個(gè)創(chuàng)新架構(gòu)的一部分是提出了一種易于調(diào)整的方式去調(diào)整邊界，”美國(guó)中情局前任CTO Bob Flores說。他也是“軟件定義邊界”架構(gòu)文檔的編撰者之一。CSA所提出的這個(gè)概念有可能改變?nèi)恕?yīng)用和數(shù)據(jù)流的授權(quán)認(rèn)證方式，會(huì)在接入網(wǎng)絡(luò)之前便要求進(jìn)行認(rèn)證。

　　“軟件定義邊界”所使用的技術(shù)包括基于數(shù)字證書交 換的所謂“mutual TLS”以及強(qiáng)認(rèn)證加密等，Vidder公司的CTO Jamaid Islam解釋道。他也是“軟件定義邊界”架構(gòu)文檔的編撰者之一。該架構(gòu)文檔的其他編撰者還有可口可樂公司企業(yè)架構(gòu)與新興技術(shù)總監(jiān)Alan Boehme，Verizon首席創(chuàng)新架構(gòu)師Jeff Schweitzer。

　　Vidder的Islam稱，CSA的這一概念對(duì)于實(shí)現(xiàn)強(qiáng)大的云安全來說是很理想的。這個(gè)直接源自美國(guó)國(guó)防部高安全性網(wǎng)絡(luò)的方法能夠嵌入目前市面上出現(xiàn)的各種SDN產(chǎn)品中去。CSA這一計(jì)劃的優(yōu)勢(shì)在于，它能夠?qū)崿F(xiàn)一個(gè)所謂“黑箱”網(wǎng)絡(luò)，即在互聯(lián)網(wǎng)上看不到的網(wǎng)絡(luò)，因而也更難以對(duì)其進(jìn)行攻擊。

　　“國(guó)防部的網(wǎng)絡(luò)就是個(gè)黑箱，”Flores說。“要對(duì)其加以攻擊非常困難，因?yàn)閷?shí)際上人們根本不知道它的存在，也根本看不到它的界面。”

　　Vidder的Islam承認(rèn)，CSA的這一概念能否成功取決于密鑰管理結(jié)構(gòu)能否及時(shí)到位。他說，這里可能就是云服務(wù)提供商可以發(fā)揮作用的地方，會(huì)有越來越多的云服務(wù)商為其客戶提供各種硬件安全模塊(HSM)。但企業(yè)客戶還是會(huì)在企業(yè)內(nèi)維持他們自己的密鑰管理流程。Islam說他的企業(yè)就構(gòu)建了這種高安全網(wǎng)絡(luò)為私營(yíng)企業(yè)提供服務(wù)。

　　Flores說有家大企業(yè)目前正在其生產(chǎn)環(huán)境中使用CSA的“軟件定義邊界”，而明年將舉辦的RSA大會(huì)上也將會(huì)看到更多的關(guān)于行業(yè)支持這一概念的新聞。CSA計(jì)劃讓“軟件定義邊界”軟件作為開源軟件供公眾采用。

　　“我們認(rèn)為軟件定義邊界可能會(huì)成為規(guī)則改變者。需要做的正確事情就是把它交給開源社區(qū)，讓云計(jì)算不再是你必須考慮的一件事情。”