谷歌分析师称,谷歌拒绝透露是否会对其他应用增加安全加密措施,这让客户很受伤。
谷歌最近宣扬现在Gmail信息在数据中心之间传输的时候,会做加密处理,这一额外的安全措施目的是挫败意图窃取信息的政府和不法分子,但是谷歌没有表明是否将这一措施贯彻到所有应用上。
而谷歌也拒绝对此予以评论。“我们不便分享Gmail以外的其他信息,但是我们一直在加强和加密更多服务和数据连接。”一位谷歌新闻发言人在邮件中说。
分析师称,谷歌不希望明确自己内部加密的范围,而这对于依赖其应用套件进行工作联系,云存储和协作的企业客户而言肯定不方便。
“在面对被破坏的证据,且被质疑破坏是怎样发生的以及破坏者都干了些什么时,谷歌采取了回避的态度。不存在信任基础,”Gartner分析师Jay Heiser说。
事情还得从去年说起,去年斯诺登披露了NSA通过拦截数据互联网公司在服务器和数据中心之间未加密的纯文本信息,对在线服务用户进行监听。
去年九月,谷歌官方告诉《华盛顿邮报》,称该公司正加速对数据中心之间的数据做加密处理。
“这是一场竞备赛,”谷歌安全工程副总Eric Grosse称。
大约两周前,谷歌宣布为Gmail开启“内部”加密,但是却不说是否,以及何时会把这种加密措施延伸到其他服务和应用上。
“你发送的或接收的每个单独Email信息都会在传输过程中被加密。这确保了你所发信息的安全,而且不仅仅是在你和Gmail服务器之间传输时的安全,还包括在谷歌各个数据中心之间传输时的安全——这是去年去年夏天斯诺登爆料事件之后,我们列为头等重要的事情。”谷歌的博文如是说。
去年九月谷歌对《华盛顿邮报》称,端到端的内部加密项目将尽快完成。而谷歌新闻发言人没有给出更新的消息。该新闻发言人还拒绝透露Gmail新增加密措施的具体时间,而只是承认这一消息***在3月20号的博客中发不过。
这就是为什么企业云服务购买者需要从厂商那里获得更多透明度的典型案例,Heiser透露。“没有人希望自己的数据轻易被监控,而且谷歌以外也没有人知道如何才可以确定传输漏洞已被修复,”他说。
“在不知道谷歌服务器之间数据传输方式的情况下,没有人知道是否存在威胁。我们现在都知道这种传输过程存在漏洞,但是如果没有细节信息的支持,谷歌给出的模糊承诺并不能作为漏洞已被修复的可靠证据,”他补充道。
谷歌的模糊回应暗示该公司可能并未完成它去年九月提及的Grosse,而客户应该留意这一点,Heiser说。
“这个例子表明,谷歌的规模和复杂性应该成为用户质疑的点。其搜索引擎和广告业务的数据流或基础设施是限制谷歌为信息传输部署加密措施的因素吗?”Heiser说。
另一名Gartner分析师Peter Firstbrook也不能接受谷歌的模糊态度。
“如往常一样,谷歌并没有给出实质的信息,”他在邮件中写道,并提到了上文所述的3月20号的博文。“这又是在告诉人们‘相信我们,我们在做正确的事情’。但并没有给出明确解释。新的加密机制中可能存在薄弱环节。但我们不得而知。”
SaaS产品购买者的教训很明显,Heiser透露:需求很明确,厂商对其安全产品和策略的粒度化解释。
“‘我们有以下特性’这种话并不能帮助SaaS购买者完全了解某个特定产品到底什么地方存在不必要的漏洞,如果你不把技术上的完整信息和服务的拓扑结构告诉购买者,”他说。“SaaS就是如同热狗肠一般,内里的肉或许无害,但如果不知道所有配料,你就无法完全了解它对健康的危害。”