今天聊聊云加密的那些事儿。
什么是云?安全界除了乌云,其实还有马云,为什么这么说,后面再告诉你答案。
最近《芈月传》在热播,秦王一次就把芈殊和芈月两姐妹就娶回来了,家里后宫里还有魏夫人、赵夫人等一大群美人,好生快活,各位IT男羡慕嫉妒恨各种情绪交织。
为什么要提起这部电视剧,因为和云计算有关,没搞错吧,真的没错,不信你看。
秦王如果只娶一位王后,这就是传统的IT架构,每家机构有一个数据中心,像芈月和黄公子歇私定终身,就是一对一的关系。
秦王觉得一位王后不够,后来又娶一位魏夫人,这就是双活数据中心。一些机构现在就是两个数据中心,一主一备。
秦王在巡查义渠的时候遇见一位美人,一见倾心,特意为人家建了座行宫,这就是两地三中心的典型架构,国内很多央企都是这种模式。
日子久了,秦王娶的美人越来越多,于是乎便形成了一个后宫,这便是私有云。
兵荒马乱的春秋战国时期,很多人压根就娶不上老婆,那怎么办,那时齐国宰相管仲就想了个法子,就开办了“女闾“(即青楼),来满足一大群人的刚性需求,这便是公有云。
还有一些富家公子,家里妻妾成群,但还是喜欢去“女闾“喝花酒,这就是混合云了。
讲到这里,你们可能就明白了,其实在我们身边云无处不在,再举个例子。
大多数人是倾向于回家吃饭,那么你下班后,买菜做饭是传统的解决晚饭的方式。
还有一部分人,家里没厨房,或者不会做饭,就得去餐馆解决吃饭的问题,另外一部分人,偶尔接待客人,自己的厨艺还达不到这个级别,所以得找高档餐厅。
各家各户的厨房我们也可以看作是传统IT架构,而餐馆和高档餐厅就是云服务提供商了。
餐厅的服务各种各样:
最普通的散客过来吃饭,进店了按菜单点菜,标准化定价,不像青岛大虾38元1个,童嫂无欺,这就是最常见的公有云服务。
餐厅味道不错,附近的一些个公司企业开始定点在餐厅吃饭,包括商务接待、宴会等,这就是面向大客户的公有云了。
这个时候,公有云服务内容就可以进行拓展了,客官你要吃湘菜、川菜、鲁菜、东北菜都OK,服务也能向海底捞靠近。
还有一些餐厅做到后面不对外营业,只接受会员预订,用这两年比较流行的话,就是私人定制,这就是私有云了。
云服务包括哪几类,无外乎就是IaaS、PaaS、SaaS,那我还是讲讲我经常在《雪夜围炉话安全》里边拿来说事的养猪场的故事吧,不过别指望过年时给你送条猪腿啥的,我家真不是开养猪场的。
隔壁老王想建个养猪场,找村长聊起这个事,村长恰好批过别人家的养鸡场,狠吸了一口烟说道,我说老王,你有两种干法,第一呢是把村西头的空地给租下来,自己请泥瓦工给你盖这个养猪场;第二呢是去把老刘养鸡场闲置的房子租下来,还算便宜。
如果老王自己建养猪场,那么租给老王空地的赵老头就是IaaS服务商,地是基础设施,所以叫基础设施即服务,这类服务优点是你可以随便盖房子,不仅可以养猪、还可以养鸡养羊。缺点也是显而易见的,只有地,地上全是光秃秃的,啥都没有,你自己准备。
租用赵老头的养鸡场就和PaaS类似,养鸡场就是平台,所以叫平台即服务,优点是已经给你提供好了现成的场地,基本的配套设施也都有了,你只需要把猪仔丢进来养就行了。但缺点也很明显,人家老赵的场子是固定的,每个圈大小固定,食槽固定,你养小花猪可能4头还很宽松,但是养大肉猪2头就有点挤了,哪天你生意做大了,改养兔子了,这个时候你的猪场就不适合养兔子了。
养猪场办好了,此时新的问题又接踵而至:养猪场的几头猪仔生病了,而老王又没有聘请兽医,怎么办呢?这时老赵就把镇上的兽医工作站推荐给老王,里边两个医生很厉害,专治生猪病症,这个工作站就是SaaS的角色,也就是软件即服务。
除了兽医工作站,养猪行业还有很多类似机构,像镇上桥头老张家的母猪配种服务,村长儿子做的生猪销售服务,这些服务都是SaaS,老王可以把养猪场里的这些业务交给他们来搞定处理。
讲到这里,各位大致明白了IaaS、PaaS、SaaS的区别,那再看看我们国内各家云服务厂商,百花齐放,很多云服务提供商已经从IaaS到PaaS,最后成为了SaaS,他们不仅卖地,还卖房子,现在还卖各类你需要的服务。
前面我们的故事中拿厨房和餐厅来比较云服务,对人来讲,食品安全是整个行业无法回避的话题,那么对于云服务商来说,数据安全也是所有云服务机构必须解决的问题,当然数据安全还得分保密性、完整性和可用性、对人们来说最为迫切的需求恐怕就是加密需求了。
你在家里老婆孩子热炕头的时候,数据飘在云上。你坐着火车唱着歌的时候,数据还飘在云上。飘在云上不算可怕,可怕的是数据还是明文保存的。不管是公有还是私有,心里会总觉得不放心,不踏实。
为什么不踏实?数据怕被别人看到,怕被别人偷走。所以就要做到不该看的人看不懂,即使你把我的数据拿走了,你也看不懂。为什么看不懂,因为有加密。
云上数据的加密应该是刚需,还有一部分不具备硬件加密环境的机构来使用云加密服务也是刚需。什么是刚需,筷子自商朝起就是我们一日三餐的必备之物,几千年来从未改变,这就是刚需。
再回到云加密上面,我们会关注什么?
第一是效果等同。在云上能享受到传统加密系统带来的强健算法和完整加密体系,凡是传统加密机技术有的,云加密服务也要有,用句接地气的话来讲,就是疗效要好嘛,第个关键问题”好“就解决掉了。
第二是密钥保管。传统加密领域,加密系统有主密钥、工作密钥和传输密钥三类钥匙,这三类密钥就是锁上和打开潘多拉数据魔盒的关键所在,重要性就不用我强调了。那么在云加密服务里边,你能独享什么钥匙,并能完成密钥的初始化,部署,授权,备份等操作,这才决定了你家数据的安全级别,所以云加密服务还得解决这个”安心“的问题。
第三是按需付费,性价比高。用户不可能为了喝口鲜奶买下整座牧场,因此很多有加密需求的机构因为需求和预算的问题止步于加密系统的门外。云加密服务要打开这个市场,就必须得解决价格问题,也就是“省”的问题,原来只可远观高高在上的女神现在也可以因为一杯咖啡和你聊上半天,这是件多么幸福的事儿。
第四是在线服务。既然都上云了,那么必须是在线服务,即来即加。不能像传统企业的加密系统,系统庞大、部署周期长,这个云加密服务面向用户肯定是轻量级的,这就解决了”快“的问题。
第五是满足合规,别拿着各种淘汰落后的算法和加密技术来忽悠用户,也别拿着q3的车子卖q7的价,为云加密服务提供支撑的硬件系统必须得是满足国家的监管需求。虽然在云端用户看不到你的后台的硬件加密技术和产品,但是稍微一打听,还是能知道行情的。
讲了这么多,这个云加密服务怎么落地,其实应该分两种。
一种是云端应用有加密需求,那么购买加密服务后,云服务商直接给你的应用配个虚拟加密机,业界标准接口,这就解决了。
另一种是有些机构的本地数据中心,有应用系统需要加密服务,怎么办?云服务商专门给你搭一座桥,从你的数据中心到云端,这座桥只有你能走,解决安全问题,其实就是专有网络。把路打通后就好办了,不管你的数据是金融系统、智慧城市、还是能源,不管你有多少个需要加密的系统,我是云,加密处理能力是弹性可扩展的,既然把路打通了,那就来连上云端加密机的标准接口吧。
这两种模式应该是落地时都能碰到的。
聊到这里,再回答最开始的这个问题,安全界除了乌云,还有马云,为什么这么讲?
因为现在马老板的阿里云联合江南天安开始推这项云加密服务了。
不难想象,大势所趋。在竞争日益激烈的未来,基于云的各类安全服务会越来越多,在解决安全性、易用性、合规性和性价比的问题后,上云将是未来几年传统机构的最大变化。
(完)
