CQURE首席执行官：云环境下的安全审计

云环境下的安全审计

　　CBSi·ZOL讯，2011年11月02日，第二届RSA大会信息安全国际论坛在中国大饭店隆重召开。作为全球知名的安全盛会，本届RSA 大会吸引了众多高水平的安全信息人士，其中来自全球各地的46位信息安全专家将在近38场研讨会中分享他们的观点，涵盖领 域包括应用与开发、加密与架构、黑客与威胁、移动与网络安全以及可信任的云计算等。

　　在此次大会上，ZOL记者专门采访了CQURE首席执行官、IT安全审计师Paula Januszkiewicz。她同时也是企业安全MVP、培训师 (MCT)和微软安全信托顾问。

CQURE首席执行官、IT安全审计师Paula Januszkiewicz

　　在此次记者采访中，她向我们介绍了全球IT审计的整体概况和注意事项。另外，她还回答了记者有关获取微软源代码资质、彩虹表和开发描器等问题，下面是采访实录：

　　记者：请您介绍下全球IT审计的整体状况，以及未来的发展趋势？

　　Paul Januszkiewicz：对IT审计来说，我们要做的是对这个技术进一步了解，因为新的技术还没有实施，还处于测试的阶段， 所以我们要了解技术的相关情况然后进行审计。我们认为在IT审计领域，不断了解新技术、新东西是非常正常的现象。未来的趋势应该也不会有太大的改变，唯一的改变可能就是人们对安全的意识不断加强。比如我们今天举办的RSA2011信息安全国际论坛就是一个充分交流的良好平台，有助于加强安全意识。因为现在我们会发现安全问题确实会影响到我们的生活和发展。人们也越来越多的意识到安全问题。因为总是有不同的新技术，新技术会带来新问题，新问题出现以后人们可能还会再看老技术带来老的问题，人们还要进一步推动新技术，所以会不断进展。

　　记者：传统的安全审计与云计算环境的安全审计，二者差别大吗？

　　Paul Januszkiewicz：基本的理念还是一样的，我们还是针对相关的服务进行审计，但是在云的环境中还是有所不同，我们会比较关注信息和数据在不同端传输中的情况。技术不同，但基本的理念还是一样的。数据传输方面，在云端、客户端、私有云环境下、合作伙伴环境下数据的传输和加密过程是我们关注的重要方面。

　　记者：您所作的各种测试中，哪种测试比较多些？

　　Paul Januszkiewicz：我做的测试主要是IT系统内部，比较少做网络测试。主要针对的是边界测试，所谓边界就是一边是网络 ，一边是客户自己的系统，在这两个主体中间，边界是我们的工作重点，通过这个测试可以看到，从Web网络角度看，客户系统有哪些显而易见的漏洞。是我们也会做内部测试看看存在哪些潜在的风险。所以我们有三方面测试内容，一方面做Web测试，Web测试主要是意见收集，看看网络情况如何，第二方面是边界测试，所谓边界测试是看数据安全的问题，第三方面是内部的系统测试，主要是看内部系统本身的配置。

　　记者：审计测试需要注意一些什么？

　　Paul Januszkiewicz：首先，一定要得到公司管理层的批准，否则无法获取资源，也没有什么意义。另外要和财务人员进行事先沟通，让公司知道审计是做什么，目标是什么，付出了这些成本后，对公司的安全防范有什么样的好处。第三让公司内部IT人员知道审计的目的和意义是什么。我们现实中碰到很多案例，由于事先沟通没做好，审计的时候IT部门非常抵触，认为是要把IT的问题暴露给管理层，要告诉他们审计是为提供更好的环境和管理，另外也需要IT的支持。

新环境下密码学面临的挑战

    继Paul Januszkiewicz介绍有关安全审计方面的问题之后，我们也把话题逐渐引入到了密码学、扫描器、微软源代码以及她个人使用的彩虹表方面。

Paul Januszkiewicz接受记者采访

　　记者：移动安全、虚拟化安全、云安全，对于基础性的传统密码学带来哪些挑战？

　　Paul Januszkiewicz：我不能说一点挑战都没有，但出现的新技术并不是完全全新的东西，很多协议被破坏的时候只是对一些技术产生挑战，但对现有密码学所有的方法来说，它的功能还是比较完善的，而且比较适用于当下的情况，没有出现什么问题 。比如你在云中发布应用软件，一般来说不允许再进行修改，如果修改的话需要重新输密码。但现在有新的技术，允许自己的环境和云环境进行对话，从而不需要进行密码修改。这就是以需求为基础的技术，这种技术是新发展，当然会给我们带来一些新问题。但也会给我们带来全新的防护模式。一旦出现新技术的时候，就有一些原有的技术做全新模式的搭建，在搭建的基础上保证新技术还是安全的，所以这更多的是架构师要考虑的，在新的IT架构下如何让原有技术和新技术在新环境下保持安全。

　　记者：请谈谈关于获取微软原代码的资质问题？

　　Paul Januszkiewicz：只限于我个人。不是公司。这完全是个人的权限，我们不会通过这个权限，用公司的名义销售服务。此外我们也非常关注客户对我们的反馈，比如2004年之前我们就开始谈虚拟化的问题，但2011年我们才真正谈虚拟化。

　　记者：就你们公司搜集到的数据来看，VMware、思捷、微软HYPER-V等三个虚拟系统哪个漏洞更多一点？

　　Paul Januszkiewicz：我没办法讲哪个系统有更多的漏洞。但是否有漏洞，是否有问题取决于系统提出的解决方案，现在有很多大的服务公司和供应商都在用这个系统，每个系统都有自己的好处和劣势，同时这个系统背后都有完整的团队在做这些事。 一旦问题出现是否可以及时响应，是衡量不同产品和解决方案的重要标准。

　　记者：以后是否会出品自己的扫描器？

　　Paul Januszkiewicz：目前还没有这个想法，过两年可能会有这种想法。但至少未来三年内我是不会做这样的事。

　　记者：你自己用的彩虹表大概有多大？

　　Paul Januszkiewicz：32GB。因为我的硬盘只有这么大，做彩虹表不需要在自己的硬盘上存太多的数据，所以不需要太大。其实通过网络资源就够了，因为如果你自己存储数据的话，这个成本是非常高的。