|云安全| |新闻| |OpenDNS|

OpenDNS创始人就云安全给IT前景造成影响作评述

发布时间:2014-10-28 15:50 作者:佚名来源:ZDNet至顶网点击:加载中...次

David Ulevitch是OpenDNS公司的创始人兼CED，这家DNS服务与安全企业坐落于加利福尼亚州旧金山市。Ulevitch最初建立的另一家企业EveryDNS公司是由一个大学研究项目衍生而来，并在随后的发展中积累下10万名用户——不过他在2010年将其出售给了Dyn有限公司。

就在今年，Ulevitch被Inc. Magazine选入“35岁及35岁以下”企业家名录。

他最近在由Box召开的BoxWorks年度大会上就互联网安全作出发言。Ulevitch还曾在世界经济论坛上就这一话题进行过评述，而就在之前其OpenDNS公司当选为2011年技术先锋企业。

记者：互联网安全是一项规模庞大的业务类别，而且众多企业都在斥巨资用于其网络及数据的保护工作。但时至今日，我们仍然常常能够听到关于重大安全事故的报道。为什么会这样？

DU：尽管目前市面上的安全方案供应商数量众多，人们也愿意在安全工作上投入大量资金，但从安全性的切实提升角度来看、这一切并不一定就能带来理想的结果。为什么会这样？真正让企业身陷困境的状况是否真正得到了解决，特别是中小型企业所面临的难题？他们又可以采取怎样的安全实践手段来在推行安全教育的同时、切实改进自己在安全领域的地位，从而帮助自身彻底摆脱头痛医头、脚痛医脚的被动局面——或者解决更为糟糕的状况，即根本拿不出足够的资源来应对出现在面前的攻击活动？

记者：这些问题确实极具现实意义，那么答案又是什么呢？

DU：首先，我们需要理解云计算到底改变了什么——事实上，它不仅改变了问题本身，也改变了解决方案，即解决问题的方式。我们认为IT的发展前景将迎来一次巨大的转变。

记者：您所说的转变到底是怎么一回事？

DU：从传统角度讲，人们走进自己的办公室后旋即坐在办公桌前，利用自己的台式机或者笔记本设备接入位于自有本地网络中的文件服务器，而且他们所使用的应用程序也都由内部办公环境负责托管。他们在办公室内使用文件，在办公室内使用计算机，就连他们自身也始终处于办公环境当中。因此从IT发展前景的角度来看，安全性的考量体现在将整个企业视为一座坚不可摧的城堡，而我们对城堡加以保护的方式当然是围绕着其外部构建防御工事。我们会为其保留一个入口与一个出口，并在这里部署防范措施以监控出入流量，这就是防火墙的职责所在。这可能说是实现安全保障的最简单方式了，因为我们能够轻松获得对出入办公环境的信息流量的控制权。

记者：那么现在情况出现了怎样的变化？

DU：这个嘛，现在企业员工开始使用无数不同类型的设备——其中一部分归属于企业，但也有一部分归属于员工自己——此外大家还需要面对移动设备，其中最典型的就是Android与iOS智能手机以及iPad平板设备。回顾过去，当时整个企业当中约有80%到85%的应用程序运行在Windows环境之下，但如今这一数字在未来两年中将下降至不足35%——这绝对是种巨大的变革，也给我们的应用程序保护目标设置了重重挑战。如今，应用程序开始向基于Web或者迁移至云端演变，因此大家原本所熟悉的内部甲骨文应用被现在的Salesforce所取代，原本的Exchange Server变成了现在的Google Apps，大家甚至开始使用Box、Dropbox乃至Office 365这类与内部运行环境完全无关的不同工具。

有了这些新型设备，企业员工就能够使用完全运行在企业环境之外的云应用。他们可以在星巴克工作、在自己家中工作甚至在机场和路上都能工作。这种根本性的变化无疑将给IT的发展前景引导至完全不同的新方向。

记者：那么在这种新型IT前景之下，我们又该如何实现安全保障目标呢？

DU：从安全角度出发，由此带来的负面作用在于，所有面向安全的传统解决方案都已经不再适用于当下的新环境。大家根本没办法将应用程序硬性控制在网络边缘，因为业务体系中的往来流量将被划分成越来越多规模较小的片段——这是因为员工开始更多使用来自外部环境的云服务机制。

记者：这样说来，如果防火墙已经不再足以保护整座城堡，那么我们难道不能单纯将设备作为保护对象吗？

对于大多数安全方案供应商来说，他们一直所秉持的安全实施思路就是检查恶意软件副本并构建与之映射的防护模式，最终将这套模式交付至所有购买了该方案的客户手中。

这种处理方式之所以无法继续起效，或者说家得宝以及Target公司遭受数据泄露的原因所在，是因为当下的恶意软件拥有两种足以成功突破传统应对措施的重要特性。

第一点，恶意软件存在多态性。具体而言，恶意软件每次对自身进行复制时，生成的副本都会与原先存在一定程度的差别。就在我们获取副本并根据其状况构建模式的同时，这种应对模式已经推动了实用意义、因为每套恶意软件副本所遵循的模式都不完全相同。

第二个原因在于，如今很多恶意软件其实是专门针对特定受害者群体的，因此大家所遭受的第一次攻击实际上也就是最后一次攻击。恶意人士所扮演的更像是狙击手角色，而非拿着猎枪与我们正面对轰。

记者：听起来实在有些可怕。

DU：从积极的角度看，这也给了我们重新审视安全保护思路的大好机会。

这也正是如今众多小型安全初创企业不断涌现的原因所在。IT领域面临的单一一种颠覆性现状已经足以创建出一套全新安全保障体系，而当下我们则同时面临着三种：移动生产机制、多设备介入与云应用程序。

现在市场上的安全方案供应商能够替我们打理身份验证方面的管理工作，帮助我们规划面向不同服务的登录方式，这样我们在雇佣新员工的时候就用不着向其传达太过复杂的规章制度。此外，我们也拥有足以承担起数据加密任务的供应商，他们能够妥善处理我们保存在Salesforce或者Amazon当中的业务信息，从而让云端数据变得更加牢固可靠。

此外大家还拥有像OpenDNS这样的服务供应商，我们不会将保护职责完全寄托在一台冷冰冰的设备身上; 我们认为自己有能力带来标准甚至更加理想的安全保障成效，而且是以服务的方式进行交付——每天二十四小时、每周七天。这种服务会结合背景信息并拥有动态特性，因此它能够根据客户的业务定位、所在位置以及访问对象来制定正确的安全与管理政策。

(责任编辑：安博涛)