CIA與雲計算

專欄

作者：Steven J. Vaughan-Nichols

時任中情局局長彼得·雷烏斯在In-Q-Tel CEO高峰論壇上的演講指出，CIA應對當前信息的挑戰主要是：一、由於目前數據的透明性，CIA 需重新考慮身份管理和信息安全；二、麵對海量數據，CIA如何應對及生存；三、當威脅出現時，情報部門應如何做出快速反應。

“這家公司”（The Company）是一個術語，長期以來，業內人士用它來作為“美國中央情報局”（CIA）的代稱。還有哪個組織會像中央情報局一樣把機密性看得如此重要？即便有，全球500強企業也不包含在內。而且就目前的情況來看，中央情報局還未使用雲計算服務。

據《聯邦計算機周刊》（Federal Computer Week）消息稱，美國中央情報局準備與亞馬遜簽署一份6億美元的大單，在未來10多年內將使用亞馬遜的雲計算服務。具體來說，就是讓亞馬遜的網絡服務幫助中央情報局構建私有雲的基礎架構。

什麼？你認為中央情報局會真的把它的機密檔案放在亞馬遜彈性計算雲（EC2，Elastic Compute Cloud）上嗎？我可不這麼認為！

但看看這個：中央情報局在2009年時，之所以要轉向基於雲計算的服務器上的一個重要原因，是因為它覺得雲計算可能比傳統的IT係統更為安全。

雖然我們不清楚中央情報局是否真的會使用亞馬遜的服務，但是如果它真的創建了專屬的私有雲的話，那麼這將會證明雲計算將會更為安全。現在我不得不說的是，如果中央情報局都能信任雲計算的話，那麼所有人都可以信任它。當然，你仍然需要對它的安全性保持密切持續的關注，並且要確認那些供應商正在采取必要的步驟來保護你的數據。這就如前美國國家安全機構主任邁克爾·麥康奈爾（Michael McConnell）在去年時說過的：“雖然雲計算的經濟效益實在讓人無法拒絕。但是，我們還是必須要先確認安全性能夠得到保障才行。”

怎樣才能做到這點呢？中央情報局很顯然不會告訴你它會怎麼預防攻擊，比如告訴你它之後的一係列的有關雲計算的計劃。不過，有一些機構會有相關的指導，比如the European Network和Information Security Agency，它們將會告訴你關於那些IT商店會處理公有雲服務的一些方法和教你如何監測他們的雲計算等。

除此以外，你應該像做功課一樣地經常去確認你的雲服務是否保持在最新版本，以及服務商是否始終運用最佳的辦法來確保雲安全。正如IT技術谘詢服務的公司Wired Integrations的創始人兼總裁馬克·吉爾摩（Mark Gilmore）在此前指出的：如果你是那些“不符合安全標準”的人，如讓機器一連運轉好幾天，那麼，被入侵的可能性將會大大增加，並且你的數據資源也很有可能因此而被黑客攻擊。總之，無論你是使用基於雲計算的係統、內部的客戶端或某個服務器的安裝程序，有關安全的設備仍然是大致一樣的。

關於這些，“這家公司”當然知道，還有你的公司也應該知道。