如果你使用電腦的經驗超過了十年半，那么你無意中以某種方式發現這些協議的幾率是非常高的，尤其是在大公司當中。

如今的企業（特別是IT企業）跟1995年那時候的企業已經有了巨大的不同，然Ylonen仍然致力于研究同一個關鍵問題：敏感信息的訪問安全問題。（他的公司，SSH通信安全，剛剛發布了一個新的SSH密鑰識別和清除服務。）事實證明，在這個隨時在線的世界中，它比任何時候都更加重要。

我們對他進行了采訪，了解企業如何保證他們的數據安全，以及某些錯誤做法。

ZDNet：你現在的工作內容是什么？你想解決什么樣的問題呢？

Tatu Ylonen：我們正在努力解決的問題是關于在IT基礎設施中授權訪問服務器的關鍵問題，授權訪問在IT基礎設施的建設中還沒有真正得到妥善管理。我們已經推出了減輕這些風險的服務，前陣子，我們剛剛與一個重要的銀行完成250萬美元的合作。

我們基本上是為他們提供了一些基礎知識——關于如何獲得控制下的SSH密鑰以及IT環境中后門的相關內容，然后幫助他們淘汰這些過時的密鑰。在今天的環境中，有成千上萬的這種密鑰。這是確保交易商或者其他人在未經任何授權下，禁制訪問系統的。

我們想讓它能夠自動改變密鑰，所以，如果某些離職的員工存有密鑰副本，那么也能夠有效地阻止他們進行訪問。

在過去的幾年中，我們已經挖掘出不少SSH密鑰管理的問題。我們得到了更多的用戶請求。排在我們前三名中的一個零售連鎖客戶，通過他所提供的問題我們開始挖掘。實際上跟大多數客戶一樣，他們當中沒有一個人知道在他們的環境中到底有多少SSH密鑰。他們根本不清楚哪個人可以訪問些什么內容，他們沒有控制權。

ZDNet：這聽起來可真瘋狂，真的。

Tatu Ylonen：這個問題已經被掩藏在IT環境中了。在自動化管理責任中通常會使用到這種密鑰。這些企業似乎有2萬臺服務器運行在他們的IT環境中。其實，協議沒有什么錯誤，只是這些控制的管理一直都相當草率。

一家銀行估計，他們在過去的10年中已經累積了40萬的訪問密鑰。他們根本不清楚應該刪除哪些密鑰，因為他們不知道那些密鑰是允許訪問什么內容的。所以，他們不想再去關閉那些密鑰了，因為他們不想誤關了某些關鍵系統的訪問大門。

在一個全球性的銀行中，我們發現了超過一百萬個密鑰，而且都是授權訪問服務器的。百分之十給的是訪問根目錄的。你可以想象，最大的風險是：在一種網絡中，這些密鑰能夠相互連接到不同的服務器。如果你闖入一臺服務器，那么肯定有相當大的風險，你就可以攻入到其他服務器，從而繼續攻擊所有的服務器。在短短幾分鐘之內，你就有可能攻陷絕大部分的企業IT基礎設施。這聽起來似乎很愚蠢，哪個企業會這么做呢？但在1988年就發生過類似的攻擊事件。而很多企業中都存在著這樣的風險，這是不容忽視的。

ZDNet：當遇到這種問題，企業是處于主動的還是被動的呢？那么在危急發生之前，他們就沒發現并處理掉這些事情？

Tatu Ylonen：IT管理員只能看到基礎設施的一個小角落。他們只看到了問題的一部分，也不清楚問題的嚴重程度，也不知道他們到底有多少個密鑰。他們非常忙碌，尤其是在過去幾年的裁員中。他們只是沒有足夠的帶寬。甚至審計師也沒有意識到。

有很多管理員參與創建了這些密鑰。他們可以讀取和復制私有密鑰存儲在該賬戶上。有些密鑰很短，你甚至可以把它們寫在你的手背上。

我們可以來計算一下用于創建密鑰的成本。在一個企業中，200名管理員花費他們10%的時間來做這個。另一家企業設立了一個15人的專業團隊來進行安全管理。若你來估算一下做那種類似工作，每年的成本是多少，結果是在這些企業中大概相當于2萬美元到3萬美元不等。這非常簡單，通過軟件就可以支付費用了。這可以讓某些人自圓其說了。

每個“財富”500強的企業中都存在著這樣一個問題。他們每個企業都有Linux和Unix服務器。這也是大型主機。使用SSH下的路由器進行管理。這也適用于最大的云服務提供商。世界上超過一半的網站都運行在Apache上，Apache運行在Linux或BSD上，通常，這些機器都使用SSH管理。

ZDNet：那他們會聽取意見嗎？

Tatu Ylonen：如果我們跟合適的人討論，他們幾乎都能認識到他們可能有問題。他們幾乎從沒有意識到問題的嚴重性。其實有很多的培訓是必不可少的。

我相信大部分的美國上市公司都會遵守“薩班斯-奧克斯利法案”【美國法律，針對企業財務狀況收緊監管的準確性——編者注】因為他們沒有正確地控制誰訪問什么，而且也沒有對離職員工進行終止訪問的管理，還沒有對這些密鑰進行正確地審核。

我們這兒有個具備20臺服務器的客戶案例。在這個項目中存在著大量的服務組件，我們需要雇傭其他資訊公司并且要對內部的IT部門進行培訓，從而讓他們掌握這些知識。審計準則的實施也存在著很大的問題，審計師不知道SSH密鑰的存在。

這個問題具有相當大的挑戰性。對于我們來說，在商業上，它可以幫助我們擁有眾多使用SSH的大客戶——超過半數的美國十家最大的企業都在使用SSH。銀行和十個全球公司中的七個都在使用我們的商業SSH客戶端和服務器。我們可以跟他們談論什么是真正的問題。

ZDNet：在我最新的一些訪問中，發現對于網絡安全的態度已經有了轉向，不再是只關注如果你被攻擊的問題，而是更關注于你何時被攻擊。你是否發現，企業高管們考慮安全問題的角度已經有所不同？

Tatu Ylonen：如今，企業的邊界變得非常復雜。現在的工作環境是多點運行。人們在家里會用移動設備進行工作，也會把自己的筆記本電腦帶到辦公室。

你不再能夠控制一切。你必須具有多道防線。若是有一臺服務器被闖入，那你就需要及時控制事態，不能再讓他闖入到另一個服務器中。IT基礎設施已經成為了一個將各種合作伙伴捆綁在一起的變形蟲。相關的協議也變得非常復雜，Javascript、Flash甚至是PDF等也變得極為復雜。即使在內部，協議也是非常復雜的語義。因為更多的復雜性，所以你具有更大的潛在的暴露性。更多的代碼，更大的服務器，更多的漏洞。

我們已經找到了發掘客戶環境中密鑰的方法——想要正確操作其本身也是相當棘手的——并且要跟蹤環境，也就是找出哪些密鑰是可以使用的。這樣我們就會知道哪些密鑰是永遠不必刪除的了。當我們要刪除根目錄的密鑰時，普通用戶對其它用戶不能創建密鑰，這特別適用于自動化流程——我們的自動化密鑰管理，讓他們每年減少了15-20人的崗位需求，從而節約了一部分相當可觀的成本。然后我們開始旋轉該密鑰，使其每一個月或每三個月改變一次。

你可以節約成本，減少管理員數量，從而提高運營效率。而我們的目標就是將風險降到最低。