隨著云計算在各個領域的嘗試與落地,基于云計算的安全服務已經(jīng)從概念階段過渡到了完善和推廣階段。在此形勢下,國內三大運營商紛紛開展云安全實踐。中國移動的“大云”、中國電信的DDoS攻擊防御業(yè)務平臺和安全快車道業(yè)務,都是云計算及云安全的有益實踐,開辟了新的業(yè)務模式。中國聯(lián)通同樣從2009年就開始云計算的實踐,對云安全的研究也在不斷深入。
云安全技術讓互聯(lián)網(wǎng)更安全
現(xiàn)在通常討論的云安全大多指云計算技術在安全領域的應用。云安全通過網(wǎng)狀的大量客戶端對網(wǎng)絡中軟件行為的異常監(jiān)測,獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息,推送到服務端進行自動分析和處理,再把病毒和木馬的解決方案分發(fā)到每一個客戶端。整個互聯(lián)網(wǎng),變成了一個超級大的“殺毒軟件”。
云安全技術是P2P技術、網(wǎng)格技術、云計算技術等分布式計算技術混合發(fā)展、自然演化的結果。云安全的概念提出后,曾引起了廣泛的爭議,許多人認為它是偽命題。但事實勝于雄辯,云安全的發(fā)展“像一陣風”,瑞星、趨勢、卡巴斯基、邁克菲、賽門鐵克、江民科技、金山、360安全衛(wèi)士等都推出了云安全解決方案。
未來殺毒軟件將無法有效地處理日益增多的惡意程序。來自互聯(lián)網(wǎng)的主要威脅正在由電腦病毒轉向惡意程序及木馬,在這樣的情況下,采用的特征庫判別法顯然已經(jīng)過時。云安全技術應用后,識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫,而是依靠龐大的網(wǎng)絡服務,實時進行采集、分析以及處理。整個互聯(lián)網(wǎng)就是一個巨大的“殺毒軟件”,參與者越多,每個參與者就越安全,整個互聯(lián)網(wǎng)就會更安全。
云計算、云安全發(fā)展面臨多挑戰(zhàn)
然而,企業(yè)開展云計算面臨的安全威脅非常多,主要包括以下四個方面。首先,大量迅猛涌現(xiàn)的Web安全漏洞,與傳統(tǒng)的C/S系統(tǒng)的安全漏洞相比,多客戶、虛擬化、動態(tài)、業(yè)務邏輯服務復雜、用戶參與等這些云服務的特點對網(wǎng)絡安全來說意味著巨大的挑戰(zhàn),甚至是災難。其次是拒絕服務攻擊DDoS。在云服務的技術環(huán)境中,企業(yè)中的關鍵核心數(shù)據(jù)、服務離開了企業(yè)網(wǎng),遷移到了云服務中心,更多的應用和集成業(yè)務開始依靠互聯(lián)網(wǎng),拒絕服務帶來的后果和破壞將會明顯地超過傳統(tǒng)的企業(yè)網(wǎng)環(huán)境。再次內部的數(shù)據(jù)泄漏和濫用。企業(yè)的重要數(shù)據(jù)和業(yè)務應用處于云服務提供商的IT系統(tǒng)中,如何保證云服務商自身內部的安全管理,如何避免云計算環(huán)境中多客戶共存帶來的潛在風險,這些都成為云計算環(huán)境下用戶的最嚴肅的安全顧慮或挑戰(zhàn)之一。最后,潛在的合同糾紛與法律訴訟。云服務合同、服務商的SLA和IT流程、安全策略、事件處理與分析等都可能存在不完善;另外,虛擬化帶來的物理位置不確定性和國際相關法律法規(guī)的復雜性,都使得潛在的合同糾紛和法律訴訟成為利用云服務的重大挑戰(zhàn)。
換一個角度看,對于開展云安全業(yè)務的電信運營商而言,則會面臨兩個非?,F(xiàn)實的問題和挑戰(zhàn):一是如何與客戶簽訂適當而合理的SLA協(xié)議;二是如何規(guī)避前向收費價格戰(zhàn),這不僅僅是一個商業(yè)模式(business model)的問題,無論采用哪一種收費模式(pay per use或pay per month),都存在一個前向收益的挑戰(zhàn)——用戶更傾向于價格便宜的服務。如何說服用戶購買一個更好而不是更便宜的服務,是電信運營商必須仔細思考的。
[page]
運營商兩方面規(guī)劃云安全戰(zhàn)略
目前,國內三大運營商已經(jīng)開始云安全業(yè)務實踐。比如中國電信建立了基于云計算架構的大容量DDoS攻擊防御業(yè)務平臺,該業(yè)務平臺基于云計算架構進行構建,采用“全網(wǎng)統(tǒng)一調度、并行處理、就源清洗”的處理機制,在資源的統(tǒng)計復用基礎上極大地提高了防御能力。
整體而言,電信運營商對于云安全業(yè)務發(fā)展的規(guī)劃和設想,一方面是實現(xiàn)安全業(yè)務的云化,二是將云安全基礎設施和云安全業(yè)務兩個方面的平臺進行同時統(tǒng)籌考慮和建設。
其中,云安全基礎設施可以通過SoC運營管理平臺管理和實現(xiàn),其需滿足兩方面的要求,一是網(wǎng)絡安全運行維護,二是對電信的客戶提供云安全服務。而云安全業(yè)務平臺的建設,運營商需注意利用第三方的云安全平臺,如引進一些安全廠家提供的防病毒平臺等等,充分融合內、外部資源,利用資源池化效應,提升整體信息安全基礎能力及服務提供能力。
從技術角度,我們認為云安全服務應該實現(xiàn)端到端的解決方案,主要包括這幾方面的安全:一是虛擬化安全,如虛擬機監(jiān)控、虛擬機隔離、鏡像的安全存儲、虛擬機安全遷移;二是運行安全,如靜態(tài)代碼分析、對內外攻擊防護、程序運行安全;三是接口安全,如避免政策規(guī)避、避免惡意接口調用、接口調用認證;四是數(shù)據(jù)安全,如數(shù)據(jù)加密、安全訪問、內容安全、數(shù)據(jù)備份和消亡。
對于運營商云安全未來發(fā)展,我們認為要從三個視角考慮:首先是云計算提供者要考慮服務質量的保證問題;二是使用者需要考慮信息數(shù)據(jù)保護問題;三是管理者需要考慮一些監(jiān)管方面的問題,比如說制定安全的制度、政策,云計算的安全標準,同時應該對服務提供商進行監(jiān)控監(jiān)管。