云計算安全等級保護問題探討

責(zé)任編輯:editor009

2014-08-20 06:23:25

摘自:比特網(wǎng)

2014 年8月14日至15日,第七屆移動互聯(lián)網(wǎng)國際研討會在北京國際會議中心隆重舉行,本次大會以“4G移動互聯(lián)網(wǎng)時代的創(chuàng)新與變革”為主題,圍繞4G網(wǎng)絡(luò)技術(shù)及未來發(fā)展、虛擬運營商、移動互聯(lián)網(wǎng)應(yīng)用、信息安全、物聯(lián)網(wǎng)、融合通信等產(chǎn)業(yè)熱點展開。

2014 年8月14日至15日,第七屆移動互聯(lián)網(wǎng)國際研討會在北京國際會議中心隆重舉行,本次大會以“4G移動互聯(lián)網(wǎng)時代的創(chuàng)新與變革”為主題,圍繞4G網(wǎng)絡(luò)技術(shù)及未來發(fā)展、虛擬運營商、移動互聯(lián)網(wǎng)應(yīng)用、信息安全、物聯(lián)網(wǎng)、融合通信等產(chǎn)業(yè)熱點展開。以下為北京天融信科技有限公司副總裁李宗洋在“面向移動互聯(lián)網(wǎng)的開放API及應(yīng)用安全”分論壇發(fā)表演講。

我今年聽到一個說法是2014年是中國信息安全的元年。我很有感觸,第一、我們看安全市場有兩個最大的驅(qū)動力,第一個驅(qū)動力叫做政策驅(qū)動,或者叫合規(guī)驅(qū)動。第二,叫需求驅(qū)動,2014年這么大,這是第一個政策需求在加強。所以,政策層面,還有主動需求層面上,我們看到主要的安全跟形勢都在好轉(zhuǎn)。

同時,今天這個會議也給安全留了好幾個主題,所以,也能夠體現(xiàn)出安全的重要性。所以,安全往后肯定會成為一個業(yè)務(wù)競爭的一個主動的需求,會成為業(yè)務(wù)的核心和競爭力。從產(chǎn)業(yè)鏈的角度來看,我覺得云計算有兩個點,第一、縮短了整個產(chǎn)業(yè)鏈,提高了整個交付的效率。就是我們以前用戶在需要建設(shè)一個業(yè)務(wù)的時候,這也是縮短了路徑,挖掘了我們很多資源的剩余價值,提高了我們生產(chǎn)力。所以,在云計算的這個平臺上,我們看到的是一經(jīng)營應(yīng)的模式。還有把產(chǎn)業(yè)鏈的話語權(quán)從廠商再往用戶分。所以說,在云計算虛擬化的形勢下,用戶的話語權(quán)會越來越重要,這也是我們從產(chǎn)業(yè)鏈的角度來看,話語權(quán)的一個轉(zhuǎn)移。所以,這兩個點也是為4G的發(fā)展一定有非常大的發(fā)展,只要是符合之社會生產(chǎn)力體么的這么一種模式,但是發(fā)展過程當(dāng)中一定要選擇,這個我們也做了很多調(diào)查,和很多用戶做了溝通。所以,用戶一般選擇云的時候第一個考慮點是按我的數(shù)據(jù)放在云端是否安全。

第二、鼓勵業(yè)務(wù)應(yīng)用向云計算模式遷移,它會想,會不會實現(xiàn)開源的軟件,如果用的開源的軟件,開源的系統(tǒng),我的運維能力是不是夠?用戶發(fā)現(xiàn)的第三個問題,才是成本的問題,云計算從長遠(yuǎn)來看,一定是降低他的成本??蛻魰紤]三個因素,一位是安全,第二位是你所采用的技術(shù),第三位才是成本?;ヂ?lián)網(wǎng)的安全,我們要考量有一個最便利的方式,就是它所獲取的認(rèn)可,或者它所獲取到的證書,等級保護就是安全里面很典型的一。比如用戶的三級系統(tǒng),你所提供的云設(shè)施是否過了三級。所以說,等級保護也是我們在提供云服務(wù)里面很重要的一個規(guī)律。當(dāng)云計算不僅僅是等級保護,還有27000,還有云計算聯(lián)盟的規(guī)。下面介紹一下云計算等級保護的案例需求,其實不同模式里邊,云計算的服務(wù)提供商,或者云服務(wù)廠商和用戶的控制力度是不一樣的。我們把云計算系統(tǒng)可以大家分成五層,物理層到硬件層,到虛擬化資源層,到五層,其實我們知道在IaaS的環(huán)境下,用戶是靠用戶的,在物理層和硬件層都是靠場上來保證的。如果我們提供不同的服務(wù)模式,我們在考慮等級保護的時候,我們所考慮的范疇是不一樣的,這是不同的交付模式,它的安全要求是不一樣的。

第二、從用戶側(cè)看云的構(gòu)建模式,私有圓以后肯定是越來越大的發(fā)展,尤其一些大的行業(yè)用戶,政府的中央系統(tǒng),可能私有云又是非常重要的一塊,還有建設(shè)是我自己建設(shè),可能云我交付出去。還有在公有云里面可以劃分出一些虛擬的私有云,這也是不同的架構(gòu)模式會決定云安全的考慮。我們真正在做一個云計算的等級保護的時候,一方面是站在云服務(wù)廠商的角度,他所提供的這些字眼要符合要求,另一方面站在用戶的角度來看,用戶你所負(fù)責(zé)的這段,你要符合這個等級保護的要求,這樣整體才能達到這樣一個要求。

關(guān)于云計算等級保護提的很早,基本上是一個安全制度,云計算是一個新興的業(yè)務(wù),云計算對等級保護的影響,有這么幾點。首先,從安全角度,第一個是可信,我們也包括自己做安全做很多年,我們一直在考慮,沒有絕對的安全,只有相對的可信,或者只有相對的信任,如果你不相信,這個安全沒什么可談了,就是對于安全它的運營能力,它所符合的要求,首先是基本的可信,在可信之上才談到可控,我所有放在云里的這些數(shù)據(jù),業(yè)務(wù),能否進行有效的控制,或者能否進行有效的格力,才談到可控。在可控之上才談到客觀,不管PaaS,或者SaaS模式下,不同用戶都有管理的一些需求。所以,在前面兩個需求之上,再談到可管的要素。這就是我們看到云計算,第一個考慮到三個層面,可信、可控,第三步談到日常所說的可管。

關(guān)于云計算的框架模型圖就不做詳細(xì)的說明了,我們這個圖也沒有說和云計算安全運營體系很類似,談到了從用戶的終端到管道,通信網(wǎng)絡(luò),包括云端整體的一個安全性,拋開任何一個環(huán)節(jié),它都是不完備的,這也是整個云計算的體系架構(gòu)。對于云計算的等保度,我們具體落實是從建設(shè)的角度進行等保的一個復(fù)合性的推進,前兩年和技術(shù)實施同要求的角度,具體是從建設(shè)的角度進行相關(guān)的推進。

我們簡單總結(jié)了一下云計算的安全威脅,今天這個會議就不展開說了。其實云計算我們認(rèn)為安全上有兩個最重要的點,一個是虛擬化的安全,另一個是用戶數(shù)據(jù)的安全,這也是我們考慮等保的時候兩個關(guān)鍵的技術(shù)點。這是關(guān)于等保基本要求里面的框架圖,技術(shù)和管理,我剛才談到了,兩個觀點一個是虛擬化,一個是用戶的數(shù)據(jù)。

那么,下面主要是等保自己要求里面的一些標(biāo)準(zhǔn)的要求項,我們認(rèn)為在原來的要求上還需要加入的一些東西,為了面對云計算虛擬化的一些特點,比如在網(wǎng)絡(luò)安全,從邊界,訪問控制,審計等等,這是春秋里面有這樣的安全要求。在云計算的環(huán)境下,我們很多的邊界不是物理邊界,而是虛擬邊界,或者邏輯邊界,它的邊界在增多,我們有可能識別一個云計算系統(tǒng)不同的邊界,包括用戶之間的邊界。同時,在云計算環(huán)境下,同一個物理設(shè)備里面,可能會存在很多的虛擬邊界。所以,在這個里面,在虛擬化的方式下,不同的虛擬邊界我們應(yīng)該怎么考慮它邊界的一個隔離,這是很重要的在網(wǎng)絡(luò)安全里面的一個問題。最右邊是關(guān)于虛擬化和實體差異化的一個例子。

那么,在網(wǎng)絡(luò)之上是主機安全,主機安全里這個也是服務(wù)器虛擬化里最重要的一塊,我們也是總結(jié)了在傳統(tǒng)環(huán)境的控制下,以及在虛擬化的控制下這兩個之間的不同。簡單的來說,我們現(xiàn)在一個服務(wù)器可能放了很多虛擬機,而且這個虛擬機可能是不同的用戶來使用,或者有不同的應(yīng)用有不同的用戶來訪問,這對原來的安全隔離會帶來很大的挑戰(zhàn),這是在主機層面。主機層面之上還有應(yīng)用,云服務(wù)商,如果提供SaaS服務(wù),它所提供的應(yīng)用的安全性,只有權(quán)聲明周期的安全建設(shè)才能有效的保證它的安全風(fēng)險的規(guī)避,這是在應(yīng)用層面的安全。在應(yīng)用層面就是用戶數(shù)據(jù)的全面安全,我放在一個用戶數(shù)據(jù)的安全,再一個就是采用虛擬化方式后,你虛擬系統(tǒng)的管理數(shù)據(jù)等等,這些數(shù)據(jù)要做一個及時的備份,或者及時的一個恢復(fù)的測試,這也是在數(shù)據(jù)安全備份恢復(fù)這一塊我們所考慮的在云計算環(huán)境下它的特殊的要求。

剛才主要是針對等保標(biāo)準(zhǔn)的合規(guī),我們看到在云計算這種特殊的環(huán)境下,我們應(yīng)該考慮的一個技術(shù)的點。

下面主要介紹一下整個等級保護的一些思路。這個圖是非常實際的網(wǎng)絡(luò)圖,等保里面,就是用戶的終端,包括云存儲,云加密,包括虛擬化的安全防護的一個措施,就是虛擬化邊界的一個安全防護措施,這是一個整體的技術(shù)落地的一個圖,所以,針對這個圖的兩個重要的塊,一個是虛擬化的安全,第二個是數(shù)據(jù)的安全。

關(guān)于虛擬化的安全,目前業(yè)內(nèi)主要的解決措施是通過虛擬化的安全網(wǎng)關(guān),對虛機之間的流量的訪問控制和安全審計做出安全措施。就是原來在防護措施,通過流量牽引的方式,或者說通過借口的方式做這種訪問控制,這是一種接入手段,就是虛擬化邊界的防護。對數(shù)據(jù)的防護,主要是在云端,包括數(shù)據(jù)的加密,有些可能是用戶自己拿到了這些相關(guān)的密鑰,就是云服務(wù)商看不到他相關(guān)的數(shù)據(jù),包括在云存儲也加密,在云端存儲的加密,防止數(shù)據(jù)的泄露。這是虛擬化和數(shù)據(jù)的安全。

最后一個小點,就是終端的安全,這個不展開介紹,就是我們常說的桌面云,就是在云端的桌面云的安全,它是一個輕量的桌面云,會非常符合我們對云計算中心的防護,這個桌面云也是通過虛擬化的方式,根據(jù)等保的要求,進行相關(guān)的防護隔離,進行相關(guān)的外設(shè)控制,在終端這一塊達到等保的相關(guān)的要求。這也是我們等保的老的合規(guī)性的一個要求,或者基本的政策,云計算新時代下的一個結(jié)合,也是希望能為提供云計算服務(wù)的廠商做出一些貢獻,謝謝大家!

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號