在本周举行的Gartner Symposium IT/Expo研讨会上，数千名IT管理者共同探讨了企业计算机的虚拟化，部署公有云服务或者构建私人云等热点话题。有与会者表示一场革命正在进行当中，安全经理人也参与了讨论。

　　包括David Cearley和Gene Phifer在内的Gartner分析师介绍了涉及联邦快递，Presidio Health, Johnson Diversey和其他采用公用或私有云的用户成功案例，同时在另一个言谈会上谷歌公司的企业销售总监米歇尔.洛克发现，面对着由高科技领域专业人员组成的听众在倾听他介绍Google Apps时，他就像一个冉冉升起的摇滚巨星。对于这种震撼传统IT惯例的新型企业计算和应用软件研发方式，Gartner的安全分析师的观点则没有这么乐观，而且他们也承认目前正在进行的IT革命正在逐渐脱离目前安全领域的控制。

　　Gartner咨询公司的分析师John Pescatore表示“我们的安全梦魇就在眼前”。僵尸网络驱动的网络犯罪明显呈加速增长态势，实施网络犯罪的侵略者正在大肆掠夺企业和消费者数据来获取经济利益。另外，企业员工如今也在使用手持智能手机，而企业却无暇顾及不是本企业所属的网络的安全。

　　“随着云计算服务产品的出现，各种攻击也随之而至”Pescatore表示。在许多情况下的事实是“IT企业在渐渐丧失对软件和硬件的控制权”。

　　Pescatore称，这就意味着他们要坐在那里梦想那些美好的愿望，比如重回大型机时代，或者他们必须设法使用或者研发“安全即服务”产品来接受公共云计算和他们IT基础架构虚拟化两方面带来的最新风险挑战。

　　云可以具体到公有云，私有云和混合服务等许多类型，这项重要的技术可能会发展为加密服务。Pescatore表示“在未来几年内，你会看到加密服务的出现”。

　　Gartner公司的分析师尼尔.麦克唐纳在描述这种虚拟化和云计算革命的安全含义时也不吝言辞。

　　“我们正处在一个关键点上”麦克唐纳表示。采用消费类技术和向企业领域中的技术基础架构转变意味着我们要面对企业领域的挫败。

　　对于虚拟化来说，“锁定物理设备”的关键理念在虚拟机为导向的安全中是不存在的，诸如用虚拟安全应用工具作为软件来替代物理应用工具，麦克唐纳表示。另外，我们必须用虚拟应用软件和数据库的快速配置来推动企业合作关系，尽管“安全在这种环境中变得愈发困难”。

　　云计算和虚拟化“打破了安全体系架构的基本规则之一：无论是我们还是他们。”麦克唐纳表示。

　　想比较安全产品吗？请浏览IT产品指南。诸如以签名为基础的杀毒技术已经不足以应对安全的需求，甚至已经逐渐在丧失其有用性。杀毒软件必须以白名单做支持来控制应用软件的使用，更新的以软件为基础的虚拟安全应用工具就必须顾及虚拟机环境中的应用。

　　对于目前市场上供应的物理安全应用工具，麦克唐纳表示“这些产品的价格都太昂贵了”。并且他认为思科，Juniper和TippingPoint目前所做的工作都不够，因为他们就喜欢销售硬件产品。

　　在提到云计算服务时，安全专家对于如何面对这个新事物也颇感压力，麦克唐纳表示“要找出足够安全的方法”。虽然公共云对于敏感性不高的数据是有用的，但也有它的局限性。比如说支付卡行业的公司就会对云计算说不。支付卡行业的数据要遵循支付卡安全安全标准的要求。

　　对于任何新型的云服务产品，安全专业人员的职责应该是向数据的企业所有者清晰了阐明其风险性，确信数据所有者会接受这些风险，而不是把这种责任留给安全和IT部门。

　　“他们得到所有的赞美，你却要承担所有的风险，谁会想做这样一份工作？”麦克唐纳指出。

　　一些首席信息官在Gartner大会上发言承认他们刚刚开始关注云计算安全。

　　美国内务部国家业务中心的首席信息官朱安.哈特利表示，像FISA这样美国政府颁布的安全法规可能会根据私有云和公有云计算的最新态势做出相应的改变。

　　总务管理局的首席信息官兼联邦云委员会的副主席Casey Coleman也认可这种说法，但是他们都认为这不是最直接的障碍。

　　有时还要面临一些未知的风险。

　　思杰系统公司作为虚拟化领域的参与者，也研发了自己的Access Gateway, Branch Repeater和NetScaler安全，网络和应用软件控制应用软件的虚拟应用工具版本，公司产品销售部的高级总监Sal Allavarpu表示，一些新的安全问题在虚拟化和云计算领域开始凸现。

　　首先，我们不建议用户对同台物理服务器上的虚拟机上运行的应用软件实施不同级别的信任控制，Allavarpu强调说“最佳的方式是让他们分离开来，对同台物理服务器的虚拟机实施同等的信任控制”。

　　惠普公司的首席执行官马克.赫德在昨天的Gartner大会上也发表了主题讲话，在提到他拜访许多首席执行官的经历时说道，坦率的说，他们不喜欢“云”这个术语，因为他们宁愿认为他们是在“晴朗的天空”下运作一切。这也引起听众的一阵笑声。

　　不过赫德并没有直说，他暗示惠普公司随着时间的推移将在云服务的舞台上表现更加活跃，可能更多的是集中在私有云方面。

云安全
 信息安全的出路“云”中来
 云安全是否可以给局域网带来安全？
 云计算：出了问题该找谁
 方滨兴院士：云计算仍存安全隐患
 公共云计算彼端的数据能否得到有效保护？
 虚拟化、云计算发展受安全困扰
 Gartner：安全领域正面临云革命
 云计算怀疑论：IT安全和法规遵从问题
 关于云安全的五点经验
 云计算和应用安全所面临的问题与风险
 IBM：2010年三大安全趋势 黑客也用云计算
 分析报告：云端运算风险到底有多大？
 “隐私权”挑战CIO：云计算利弊并存
 下一代防火墙在“云”中？
 思科：下一代防火墙进入云时代
 安全专家：用云计算破解无线网络
 PaaS云计算服务中常见的威胁及处理方法
 云计算正流行：你来应用 谁当保安
 评论：云计算是网络噩梦还是虚拟保镖
 操作系统让IaaS云计算服务暴露在危险之下
 云计算一道坎：如何保证云数据安全
 云安全：2010年=云计算僵尸年？
 云计算安全漫谈之PaaS阴暗面
 FTC对云计算隐私保护和安全性展开调查
 如何安全地使用IaaS云计算服务？
 虚拟化让云计算面临新的袭击
 微软首席法律顾问呼吁云计算立法
 如何确保云中的数据安全？
 云安全：进入云之前必须弄清的10个问题
 2010年IT安全形势:云计算面临更多威胁
 公共云中能否遵守PCI标准？
 从虚拟化和云计算来看IT安全的两大疑惑
 分析：谷歌Buzz出现的问题或影响云计算前景
 云计算渐成潮流 安全性是主要障碍
 IBM设计超安全专用云计算 为美军介绍开支
 亚马逊酝酿推出可管理加密服务 云安全问题已经解决？
 分析：真正威胁来自内部云
 云安全3.0为云计算提供安全防护
 数据中心成为云安全市场的决胜法宝
 云计算来袭 多方谋攻拨云安全迷雾
 云计算之难 全球四大顶尖安全公司各抒己见
 Terremark vCloud Express经历断电事故 用户表示不满
 安全第一 寻找云计算的“拆弹部队”
 微软等厂商高管谈云安全难题
 细数云安全之七宗罪
 75%受访者称云计算效果低于预期 安全最关键
 安全是云计算的一块短板
 云计算安全如何保障？
 解析“云”火墙
 云安全服务浮出水面
 畅谈云计算的真正威胁来自何处
 工信部何宝宏：云计算可能让密码学崩溃
 云计算：凭什么让我相信你
 软硬件厂商联手打造更安全的云计算平台
 Novell和Verizon联手推行云安全管理服务
 实施云计算难题待解：安全最受关注
 云安全联盟CSA：七个致命安全风险
 云计算数据保护模式应该引入第三方保障
 各种云计算模式是把鸡蛋放在同一篮子里吗？
 保卫云端：解析云计算时代的安全视角
 RSA观察：云安全工具曲折中发展
 部署云计算前需要注意的10个问题
 耕云播雨:安全最重要
 云安全两大误解：公有云和私有云谁更安全？（上）
 云安全两大误解：公有云和私有云谁更安全？（下）
 Google Chrome OS安全承诺：把所有的鸡蛋放在同一个篮子里？
 同态加密能否拯救云计算安全
 云中数据的安全性策略和做法
 CIO要知道的四个基本的云安全提示
 IaaS安全性认知：IT专业人士VS法律专业人士
 Savvis:云计算的安全问题要求提升供应商的透明度
 从多租户到混合托管：建立一个安全的云计算