|
||||
天津北方網訊 什麼是雲?在日前筆者采訪畢學堯博士時其表示,實質上,雲是資源的協同和共享,是一種以服務的方式提供給使用者的新型網絡化計算模式。在接下來的采訪過程中,畢博士從雲計算到雲應用為我們詳盡介紹了雲端安全狀況。
專訪嘉賓介紹畢學堯,1998年畢業於清華大學,同年進入中科院高能物理研究所攻讀博士學位,專門從事網絡信息安全研究工作。2003年獲得博士學位後進入聯想研究院從事博士後研究工作,先後主持Power V防火牆/UTM、KingGuard萬兆安全網關等產品研發,並作為項目負責人承擔國家863項目《一體化統一威脅管理系統》。
現任聯想網御科技(北京)有限公司副總裁兼CTO、聯想網御博士後工作分站主任,負責公司技術和產品整體規劃以及產品研發中心和博士後工作分站的管理;主持或參與863項目1個,火炬項目1個,省部項目6個;發表論文多篇;獲受理發明專利兩項。
當前雲端面臨的安全問題主要有數據丟失/泄漏,帳戶、服務和通信劫持,共享技術漏洞,不安全的應用程序接口,沒有正確運用雲計算,內奸等。
對於雲端的基礎架構而言,其基礎設施的配置、管理及評估的快速性和准確性,決定了整體雲服務和應用的易用性和有效性。虛擬化技術是雲端基礎設施配置的基礎,因此我認為雲端基礎架構的安全隱患主要包含在虛擬化的安全之中。此外,還需要考慮基礎設施的災備、能耗問題,以免引起大規模雲『癱瘓』。
雲端虛擬化分類很多,其中隨著虛擬主機的高速增長,虛擬機的安全級別混雜和大規模虛擬機間的DDoS攻擊,將成為雲端虛擬化過程成最大的威脅。同時,雲端虛擬化還面臨,諸如利用虛擬化技術來隱藏病毒、特洛伊木馬及其他各種惡意軟件等安全問題。
其應對策略可從幾個角度思考:
(1)重新定義以虛擬主機為基礎的安全政策;
(2)使用在虛擬基礎設施中運行的虛擬安全網關;
(3)加強對非法及惡意的虛擬機流量監視。
雲計算所面臨的安全問題,主要體現在計算模式、存儲模式和運營模式三個方面。具體來說,在計算模式上有訪問權、管理權和使用權等問題;在存儲模式上有數據隔離、數據清除、數據備份和時限恢復等問題;在運營模式上有法規遵從、持續運營、國家風險等問題。其應對措施可以從安全接入、認證授權、協同防護、數據加密、集中運維五個角度思考。
雲存儲的實質是共享存儲和虛擬存儲。在共享存儲中面臨最大的風險是數據丟失/泄漏,在虛擬存儲環境中面臨最大的風險是存取權限、數據備份和銷毀。雲存儲還面臨著服務供應商的『沒有責任』。因此需要我們從數據隔離、數據加密、第三方實名認證、靈活轉移、安全清除、完整備份、時限恢復、行為審計、外圍防護等方面綜合考慮解決雲存儲安全問題。
像普通應用一樣,雲應用本質上也是由各種應用程序和協議組成的應用系統。只是在服務模式和運營模式上存在差異性,雲應用的主要安全隱患在不安全的應用程序接口和沒有正確運用上。
那麼如何纔能獲得安全的雲服務?第一,由於許多雲計算部署中缺少對基礎設施的物理控制,因此與傳統的企業擁有基礎設施相比,服務水平協議(SLA)、合同需求及提供商文檔化在風險管理中會扮演更重要的角色。第二,如果提供商不能演示證明其雲服務的全面有效的風險管理流程,用戶應詳細評估該供應商,以及是否可以使用用戶自身的能力來補償潛在的風險管理差距。
用戶最關心的是其存儲在雲端的用戶數據及隱私的安全性問題,這也意味著雲端安全的核心是用戶數據安全。數據安全的核心技術是密碼技術和密鑰管理技術,為了能夠支持超大規模的用戶量和數據量,密碼和密鑰管理技術必須具備高效、易於管理、易於使用的特性,而且必須具有可擴展性。
私有雲、公共雲、混合雲在安全問題上是否存在差異性呢?答案是肯定的。
私有雲主要指組織在企業防火牆內的雲,其安全重點應在內網安全、審計上。
公共雲是建立在開放的網絡環境中,安全重點應在訪問控制、操作權限管理上。
混合雲包含了公共雲與私有雲的特征,是由多個雲協同工作的方式,其安全重點應包括用戶的身份認證、資源訪問權限管理及互操作行的管理等。
法律界現在開始意識到信息安全管理服務是電子信息是否能被接受作為證據的關鍵因素。當然這是傳統IT架構的問題,對其特別關注的原因是法律界對於雲沒有相關的經驗。
針對雲計算環境的網絡取證和服務器、CPU的取證情況給出以下建議:
·在電子證據發現方面,用戶和雲提供商必須對對方的角色和責任有共同的認識,包括訴訟保留、發現搜索、專家證詞提供方等等。
·建議雲提供商提供真實可靠的數據,以保證他們的信息安全系統可以響應客戶的要求,比如類似元數據和日志文件的主要和次要信息。
·雲服務提供商保存的數據必須接受與在數據所有者處保存時同樣級別的監管。
·提前計劃意料內和意料外關系終止後的合同協商事宜,並有序地恢復或處置資產的安全。
·雲服務用戶的責任包括合同前盡職調查、合同期限的談判、合同執行後的監測、合同終止、以及數據保管變更等。
·實施安全策略以滿足當地法規對跨邊界數據流合規要求的先決條件,是了解雲服務提供商數據存貯的地點。
·作為個人數據或企業知識產權資產的保管者,采用雲計算服務的企業應該保證該數據以原始的、可認證的格式保存所有者信息。
·雲提供商和用戶應該對回應傳票、服務過程和其他法律要求有統一的流程。
·雲服務協議必須允許雲服務客戶或者指派的第三方來監控服務提供商的效率,並測試系統的脆弱性。
當筆者問及目前雲計算及雲安全的標准情況時,畢博士表示,CLOUDE STANDERS有數據方面的,計算方面的,有虛擬機方面的。比如: CDMI(SNIA Cloud Data Management Interface標准),DMTF(Distributed Management Task Force標准),OVF(Open Virtualization Format標准)。
雲端安全產品與非雲端安全產品(即當前未應用於雲端的主流安全產品)在功能、性能、架構上存在以下差異:
第一、雲端安全產品防護效果比較綜合,我們知道現在的安全產品種類有很多,如:Firewall、VPN、IPS、IDS、AVG(防病毒網關)、Anti-Spam(反垃圾郵件)、上網行為管理等等,他們有一個共同特點就是防護功能比較單一,發展到雲端安全產品時,他的防護功能比較綜合,如:對一個惡意網站訪問的阻斷,背後可能就阻斷了病毒、木馬、釣魚、肉雞、不健康信息等的威脅;
第二、雲端安全產品縮短了防護時間,一般來說,從一個病毒出現到被識別、分析、加入病毒特征碼庫到最終傳送給用戶計算機,通常要花費24小時到72小時的時間,雲計算使防護時間差縮短到秒級;
第三、雲端安全產品具備低負荷的特點,其通過雲端威脅比對預防威脅,有效減輕網關端的負荷,同時減少病毒代碼對帶寬、服務器和終端的資源佔用。空出更多的網關資源做虛擬化。
隨著雲時代的帶來,網絡邊界逐漸淡化,傳統安全防護網關面臨最大的挑戰是部署在那裡。大家知道雲計算就是輕量化客戶端,將計算任務交付雲端處理,因此我們的安全策略將向兩極制定。
目前,Cisco的基於SensorBase的雲火牆、趨勢的基於三大信譽服務的雲安全3.0、瑞星的雲安全計劃、360的木馬雲查殺、聯想網御的主動雲防御等都是比較知名的雲安全解決方案。