雲端計算的安全解決方案
狹義雲端計算指IT基礎設施的交付和使用模式,指通過網路以按需、易擴充套件的方式獲得所需資源;廣義雲端計算指服務的交付和使用模式,指通過網路以按需、易擴充套件的方式獲得所需服務。這種服務可以是IT和軟體、網際網路相關,也可是其他服務。雲端計算的核心思想,是將大量用網路連線的計算資源統一管理和排程,構成一個計算資源池向用戶按需服務。提供資源的網路被稱為“雲”。“雲”中的資源在使用者看來是可以無限擴充套件的,並且可以隨時獲取,按需使用,隨時擴充套件,按使用付費。
通過使計算分佈在大量的分散式計算機上,而非本地計算機或遠端伺服器中,企業資料中心的執行將與網際網路更相似。這使得企業能夠將資源切換到需要的應用上,根據需求訪問計算機和儲存系統。好比是從古老的單臺發電機模式轉向了電廠集中供電的模式。它意味著計算能力也可以作為一種商品進行流通,就像煤氣、水電一樣,取用方便,費用低廉。最大的不同在於,它是通過網際網路進行傳輸的。
雲端計算的商業價值
雲端計算的商業價值正在被迅速證明,Amazon早在2006年就開始提供無合同的即用即付計算服務,所有使用者需要的僅僅是一張信用卡和點幾下滑鼠,就可以隨心所欲地選擇需要的軟體。
有分析師稱,雲端計算意味著企業計算模式的鉅變。Gartner預測,到2013年,雲端計算的產值將達1501億美元。
安全是雲端計算的核心問題
隨著資料中心不斷整合,以及虛擬化、VDI、雲端運算應用程式的興起,越來越多的運算效能與資料都集中到資料中心和伺服器上。不論企業選擇的是物理或虛擬伺服器,將資料儲存在企業資料中心內部或存放在雲端,用於存放核心商業資料的伺服器及資料本身,都需要安全保護。
在IDC的一次關於“您認為雲端計算模式的挑戰和問題是什麼”的調查中,安全以74.6%的比率位居榜首,可見安全問題是人們對雲端計算最大的擔心。
趨勢科技執行長陳怡樺認為:“雲端計算的日益普及已經使越來越多的雲端計算服務商進入市場。隨著在雲端計算環境中儲存資料的公司越來越多,資訊保安問題成為大多數的IT專業人士最頭疼的事情。事實上,資料安全已經是考慮採用雲基礎設施的機構主要關注的問題之一。”
在雲端計算產業發展中,政府使用者關注的核心聚焦在資料安全、雲端計算的標準建設及產業生態系統打造等方面;企業在部署雲端計算服務時,更注重雲的安全性、雲服務提供商的運營經驗及現有的成功案例等要素;消費者在選購雲服務時,對雲提供商的口碑、使用者數量和一致性體驗表現出了特別的關注。
雲端計算作業系統,又稱雲端計算中心作業系統、雲OS,是雲端計算後臺資料中心的整體管理運營系統(也有人認為雲端計算系統包括雲終端作業系統,例如現在流行的各類手機作業系統,這與先行的單機作業系統區別不大,在此不做討論),它是指構架於伺服器、儲存、網路等基礎硬體資源和單機作業系統、中介軟體、資料庫等基礎軟體管理海量的基礎硬體、軟資源之上的雲平臺綜合管理系統。
雲端計算作業系統通常包含以下幾個模組:大規模基礎軟硬體管理、虛擬計算管理、分散式檔案系統、業務/資源排程管理、安全管理控制等幾大模組組成。簡單來講,雲端計算作業系統有以下幾個作用,一是治眾如治寡,能管理和驅動海量伺服器、儲存等基礎硬體,將一個數據中心的硬體資源邏輯上整合成一臺伺服器;二是為雲應用軟體提供統一、標準的介面;三是管理海量的計算任務以及資源調配。
雲端計算作業系統是實現雲端計算的關鍵一步,從前端看,雲端計算使用者能夠通過網路按需獲取資源,並按使用量付費,如同開啟電燈用電,開啟水龍頭用水一樣,接入即用;從後臺看,雲端計算能夠實現對各類異構軟硬體基礎資源的相容,更要實現資源的動態流轉,如西電東送,西氣東輸等。將靜態、固定的硬體資源進行排程,形成資源池,雲端計算的兩大基本功能就是雲端計算中心作業系統實現的,但是作業系統的重要作用遠不止於此。
投資到雲端計算安全領域
2009年2月,Google Gmail 郵箱中斷服務長達4小時。這次故障可能是由於位於歐洲的資料中心進行例行維護,使得歐洲另一個數據中心過載,並波及到其他的資料中心,最終使Google Gmail 郵箱發生全球性的服務中斷。2009年3月中旬,微軟的Azure停止執行約22個小時。2008年亞馬遜公司S3服務曾斷網6小時。
雲端計算服務自身的安全隱患隨著應用的不斷深入逐漸暴露出來。儘管雲端計算可以使商業使用者和個人使用者獲得很多好處,但當用戶開始使用雲端計算服務時,就會出現很多安全問題。
在使用雲端計算的時候,最先考慮的是如何解決雲端計算的安全性問題,這些問題已經被逐漸具體化,同時在VMware虛擬機器保護、遠端接入及終端資料防護方面已經出現了有針對性的解決方案,同時通過大型企業來執行專業的雲端計算服務,實現雲端計算服務的可靠性、可用性和安全性。
雲端計算的安全性主要通過依靠安全策略以及服務提供商的更高級別的技術手段和政府的法制法規來實現。對於分散部署IT系統的中小企業來說,由於資料資訊防護手段不健全,安全成為其最大的隱患。通過把資料和系統部署在具有更多安全技術手段的雲中,將最小成本實現IT的安全性。
資訊保安已經成為整個IT市場的亮點,各廠家或為了完善產品線獲取新的市場,或者為了促進現有業務的協同發展逐步進入該領域。
使用者的困惑與選擇
隨著資訊科技發展,近幾年各種型別的雲端計算和雲服務平臺越來越多地出現在人們的視野中,比如郵件、搜尋、地圖、線上交易、社交網站等等。由於它們本身所具備的便利性、可擴充性、節省成本等各種優點,這些雲端計算和雲服務正在越來越廣泛地被人們所採用。
但與此同時,這些“雲”也開始成為黑客或各種惡意組織和個人為某種利益而攻擊的目標。比如利用大規模殭屍網路進行的拒絕服務攻擊(DDoS),利用作業系統或者應用服務協議漏洞進行的漏洞攻擊,或者針對存放在“雲”中的使用者隱私資訊的惡意攻擊、竊取、非法利用等,手段繁多。除此以外,組成“雲”的各種系統和應用依然要面對在傳統的單機或者內網環境中所面臨的各種病毒、木馬和其他惡意軟體的威脅。
使用者在試圖選擇雲安全產品時,卻找不到任何可以依據的標準。雖然即使在國內市場上,“雲安全”的標籤也隨處可見,包括瑞星、趨勢科技、卡巴斯基、McAfee、Symantec、熊貓、金山、360安全衛士等國內外安全廠商都推出了雲安全解決方案,但是,對什麼樣的方案才能保護雲浪潮下的企業安全,真正的答案卻始終讓人如墜霧中。
具有諷刺意味的是,在如何理解“雲安全”這一概念上,黑客似乎有著更為清晰的邏輯,並且很快付諸行動。我們可以看到,黑客利用“雲”中的分散式計算能力,可以更快地破解使用者密碼,可以更高效地通過控制“殭屍網路”實現惡意攻擊,近年來幾次大規模的斷網事件,以及高達十幾倍的分散式拒絕服務攻擊流量的增長,都很好地印證了這一點—— “雲安全”所追求的防護理念,正成為黑客肆虐的“凶器”。
雖然我們不能武斷地認定,在運用技術方面,黑客比技術人員進步更快。但是我們不得不承認這樣一個現實:安全問題正成為企業使用者邁向“雲”時代最重要的一個障礙和挑戰。因此,雲安全的技術和理念都迫切需要全面的提升與改變。
雲安全能否跳出簡單工具論
“雲安全面臨的困惑,實際上也是安全產業走向下一個轉折點的契機。”陳怡樺對記者表示,“新一代的雲安全應跳出簡單‘工具論’,採用新的技術和新的模式,實現真正的雲安全。”
陳怡樺所指的“工具論”,簡單來說,就是目前眾多防毒廠商炒作與關注的焦點:怎樣充分利用雲架構,更快更敏銳地獲取病毒與惡意程式的資訊,從而對使用者端實現保護。這一防護模式的重點,更多的是將“雲”作為一種工具,借其加強企業的防護能力。
雖然這種“雲安全”依然重要,但必須看到那些新的挑戰和主要矛盾,即很多網路犯罪者不再去攻擊使用者的電腦,而是直接攻擊資料中心與雲端本身。這使得傳統的基於單機版或基於區域網的資訊保安保護方式無法勝任雲安全計算環境的保護,使用者的擔憂和困惑也由此而來。
比如在“雲”時代,企業IT資源的虛擬化日漸普及,而在虛擬伺服器混合的環境,安全及加固標準不同的情況下,一臺標準較低的虛擬機器將變成所有分享虛擬器資源的安全漏洞。隨著資料中心的不斷擴大,黑客通過攻入這樣一臺低防護的虛擬機器,所造成的擴散率和危害性都會大大增加。
此外,像“雲”中企業資料的丟失和洩漏,虛擬化所造成的技術漏洞“共享”,使用者賬戶、服務和身份的冒用等等,都是現階段“雲安全”的真正“痛點”。
換句話說,“雲”本身才是最大的安全隱患。面對這一問題,趨勢科技2010年在原有的基於雲端計算技術架構的安全服務下,提出全新的雲安全3.0的概念,提供新的面向雲端計算的安全服務。也就是從Security From CloudComputing(來自雲端計算的防護)到Security For CloudComputing(給雲端計算提供防護)。
當然,若想解決“雲安全”的問題,僅僅依靠一個廠商的力量顯然是不夠的。由於安全的本質是一種對抗,而尋找一塊“短板”,比加長所有的木板要容易得多。因此,這需要業界聯合起來,組成一個完整的防護系統,共同保護雲端計算的安全。要知道,“雲”不僅是我們的工具,同時也可能成為黑客的“利器”。正視我們在“雲安全”上的弱勢,不斷提升新的防護技術,而不是以簡單的標籤和概念炒作市場,才是“雲安全”進一步發展的根本之道。
一直以來,VMWare是最大的雲服務解決方案企業,不僅在硬體配置、開發框架和應用型別上保持了相對開放性,而且,通過和趨勢科技的合作,為使用者提供最安全的虛擬化架構、介面和認證程式。這得益於趨勢科技雲安全3.0解決方案為使用者提供的雙重防護方案:雲的防護盾和雲中保險箱。
趨勢科技全球執行副總裁暨大中華區總經理張偉欽認為:“雲安全3.0的出現,不僅是一次技術升級,更是對雲端計算環境的一次顛覆,以更完整的方案保護雲端計算基礎架構。”
而國內技術型安全廠商的代表綠盟科技,則在自己的雲安全計劃中還囊括了適用於異常流量清洗的安全雲,這種模式已經在多個運營商骨幹網和都會網路得到了廣泛的部署。此次它推出的檢測惡意網站的安全雲將會與異常流量清洗安全雲相結合,從應用及內容安全層面提升使用者的安全體驗。
與以往專注於傳統分治網路安全不同,綠盟科技雲安全計劃基於綠盟科技在入侵防禦、漏洞掃描、掛馬防範、流量清洗等方面的多年的研究能力,結合強有力的計算能力,提供了在大範圍網路環境下根治安全問題的全新思路,使用者將獲得全新的安全體驗。
鏈 接
抵擋虛擬化過程中的風險
同傳統的IT架構不同,在雲端計算當中以對機器的控制和許可權為主的權力結構慢慢從企業下移到服務商。從傳統架構走向虛擬的架構的雲化過程可以分為三個階段:
第一個階段是伺服器整合。傳統的方式需要先蓋機房,這要花很長的時間。將伺服器合併,這是虛擬化的第一步。伺服器的整合可以減小一些空間,實現節能減排,讓企業更“綠色”。但是伺服器整合的增加可能會影響到業務的連續性,不一定可以馬上開展業務,因此第二階段桌面的虛擬化就出現了。第三階段是雲的轉移,這是在更高一個層次上考慮到成本與競爭力。
在整個虛擬化的過程中會存在一些風險。第一個是系統和資料不可控制。傳統機器是有固定時空的,雲化以後系統和資料的時空轉移變成不可控的,這是雲化同傳統的最大區別。第二個風險是虛擬機器之間會相互攻擊。在虛擬化的那一層,虛擬機器本身是一個作業系統,只要是作業系統就有漏洞。第三個風險是多臺虛擬機器共存時很難控制。過去為一臺機器做防火牆、打補丁都挺容易。而多臺虛擬機器中有的會睡覺,這就給安全控制帶來了很大的麻煩和風險。
在做安全防範時,傳統的做法是一臺虛擬機器裡面放一個防毒軟體,結果多臺虛擬機器定時進行掃描會將系統資源全部“吃掉”,這是傳統的堡壘式的防禦。而在同公有云連線之後,這個堡壘就消失了。如何重新設計這個安全架構,是一個很大的挑戰。而且資料銷燬很難。由於服務商都會幫助備份,一張放到網際網路上圖片被刪掉之後還是可以被查到,隱私得不到很好的保證。這樣的情況下,公有云的服務商是否要承擔一定的責任呢?
如何防範上面各個階段的風險?這就需要在雲設計時就要考慮充分。
第一, 一個好的雲要有充分的靈活性,最好的方法是從物理機到雲端計算都可以保護。防護系統的整合,事實上是一種新的安全概念。一般虛擬的安全系統本身是一臺虛擬機器,當其進入到物理機時和系統整合得好,所有的流量先透過虛擬機器再“喂”給其他人,裝一臺安全系統就可以達到和裝十套一樣的效果。
第二, 要有全面性,通過加密解鎖的方式保護資料。對於很多人來說,資料的保密是很重要的,資料的儲存者和鑰匙的擁有者一定要分開,這樣問題就不大了。
第三, 實行模組化,許可和應用一個或多個防護模組。