讓云計(jì)算和軟件定義可信:從計(jì)算架構(gòu)根治安全

責(zé)任編輯:editor004

2014-10-31 11:26:47

摘自:比特網(wǎng)

浪潮集團(tuán)信息安全事業(yè)部總經(jīng)理張東,浪潮信息安全事業(yè)部副總經(jīng)理蔡一兵,和浪潮信息安全事業(yè)部產(chǎn)品經(jīng)理劉剛接受了DOIT記者的采訪 張東的團(tuán)隊(duì)正是面對(duì)這樣的形勢(shì),聚焦于云主機(jī)領(lǐng)域,致力于消除企業(yè)業(yè)務(wù)向云上遷移時(shí)所面臨的安全風(fēng)險(xiǎn)。

與信息技術(shù)的不斷發(fā)展一樣,攻擊和安全技術(shù)也在不斷演進(jìn)。隨著云計(jì)算和軟件定義的到來(lái),企業(yè)獲得或者組織IT資源的方式被大大簡(jiǎn)化,但復(fù)雜性被轉(zhuǎn)移到后端的云數(shù)據(jù)中心,這也意味著新IT的安全形勢(shì)更加錯(cuò)綜復(fù)雜;與此同時(shí),出于政治利益、經(jīng)濟(jì)利益目的的攻擊也日益猖獗,這對(duì)企業(yè)造成嚴(yán)重的安全威脅。面對(duì)這樣的局面,一些企業(yè)已經(jīng)設(shè)置CSO(首席安全官)來(lái)統(tǒng)籌治理企業(yè)的安全。毫無(wú)疑問(wèn),CSO/CIO在信息安全上無(wú)法找到一勞永逸的辦法,但有沒(méi)有相對(duì)簡(jiǎn)單的解決方案讓企業(yè)的云計(jì)算之旅不用步步驚心?可信計(jì)算成為了問(wèn)題的答案,將這一技術(shù)很好地演繹的,是我國(guó)的浪潮集團(tuán)。

在浪潮集團(tuán)日前的2014“Inspur World”浪潮技術(shù)與應(yīng)用峰會(huì)期間,浪潮集團(tuán)信息安全事業(yè)部總經(jīng)理張東,浪潮信息安全事業(yè)部副總經(jīng)理蔡一兵,和浪潮信息安全事業(yè)部產(chǎn)品經(jīng)理劉剛接受了DOIT記者的采訪,分享了浪潮對(duì)云計(jì)算和軟件定義時(shí)代的信息安全技術(shù)趨勢(shì)的判斷,并介紹了浪潮針對(duì)云基礎(chǔ)架構(gòu)安全方面的努力和已經(jīng)取得的成果,以及未來(lái)的戰(zhàn)略方向。

在浪潮看來(lái),云應(yīng)用軟件漏洞風(fēng)險(xiǎn)、云基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)、云服務(wù)訪問(wèn)失控風(fēng)險(xiǎn)、云數(shù)據(jù)泄密風(fēng)險(xiǎn)、內(nèi)部人員非法操作和APT攻擊風(fēng)險(xiǎn)等云數(shù)據(jù)中心安全風(fēng)險(xiǎn),已成為制約新一代信息系統(tǒng)建設(shè)瓶頸,但我們基于可信技術(shù)的應(yīng)用,能夠從計(jì)算架構(gòu)的根源上解決云數(shù)據(jù)中心面臨的物理主機(jī)、虛擬主機(jī)、軟件定義的計(jì)算存儲(chǔ)服務(wù)的安全問(wèn)題,終結(jié)以往被動(dòng)防護(hù)的歷史。

浪潮集團(tuán)信息安全事業(yè)部總經(jīng)理張東,浪潮信息安全事業(yè)部副總經(jīng)理蔡一兵,和浪潮信息安全事業(yè)部產(chǎn)品經(jīng)理劉剛接受了DOIT記者的采訪

安全成為新一代信息系統(tǒng)建設(shè)的瓶頸

從數(shù)字來(lái)看,目前我國(guó)的云數(shù)據(jù)中心建設(shè)已進(jìn)入實(shí)質(zhì)性建設(shè)階段,各行業(yè)及各大企業(yè)的業(yè)務(wù)和數(shù)據(jù)正在逐步匯集到云數(shù)據(jù)中心。據(jù)GE估計(jì),云數(shù)據(jù)處理中心的需求將每?jī)赡攴槐叮?020年,云數(shù)據(jù)中心的數(shù)量會(huì)增長(zhǎng)40倍。

然而,安全正在成為拖后腿的因素。浪潮集團(tuán)信息安全事業(yè)部總經(jīng)理張東指出,云數(shù)據(jù)中心安全技術(shù)遠(yuǎn)滯后于云計(jì)算和大數(shù)據(jù)建設(shè)發(fā)展。

從宏觀角度來(lái)看,信息安全需要自主可控作為保障,這也是我國(guó)政府近兩年力推國(guó)產(chǎn)化的直接原因,但整個(gè)信息技術(shù)體系的國(guó)產(chǎn)化并非一朝一夕可以完成的,因而微觀系統(tǒng)的安全可信顯得尤為重要。

就云計(jì)算而言,其核心技術(shù)是基礎(chǔ)架構(gòu)的虛擬化,包括KVM、VMware、Hyper-V將單臺(tái)物理機(jī)分割為多臺(tái)虛擬化的方式,和分布式計(jì)算Hadoop把連接的物理主機(jī)聚合形成高可靠性的存儲(chǔ)的方式。不論何種方式,安全的形勢(shì)已全然不同以往,一個(gè)云主機(jī)的淪陷,都意味著全局資源處在威脅之中,換言之,傳統(tǒng)物理機(jī)器計(jì)算體系架構(gòu)的缺陷在云主機(jī)體系中被放大了,這就是最難解決的計(jì)算體系架構(gòu)自身安全性的問(wèn)題。

傳統(tǒng)的攻擊方式涵蓋服務(wù)器固件、硬件、OS、應(yīng)用等層面,而虛擬化的引入還帶來(lái)了VMM篡改、Guest OS鏡像篡改、主機(jī)租戶攻擊等新型威脅。確實(shí)有一些安全廠商已經(jīng)在和VMware合作進(jìn)行一些安全解決方案的更新,但我們并未看到針對(duì)云數(shù)據(jù)中心的安全領(lǐng)域有突破性的進(jìn)展,更不用說(shuō)有能夠統(tǒng)領(lǐng)全局的安全方案。浪潮認(rèn)為,傳統(tǒng)安全防護(hù)很難防衛(wèi)針對(duì)云主機(jī)的以“Guest OS鏡像篡改”、“主機(jī)租戶攻擊”和“虛擬機(jī)篡改”為目的的惡意威脅。

張東的團(tuán)隊(duì)正是面對(duì)這樣的形勢(shì),聚焦于云主機(jī)領(lǐng)域,致力于消除企業(yè)業(yè)務(wù)向云上遷移時(shí)所面臨的安全風(fēng)險(xiǎn)。

可信技術(shù)從計(jì)算架構(gòu)層面杜絕風(fēng)險(xiǎn)

云計(jì)算承諾的好處,就是讓用戶無(wú)需理會(huì)IT背后的復(fù)雜性靈活彈性地?cái)U(kuò)展資源,安全也應(yīng)該有一顆簡(jiǎn)單的心,才不算違背云計(jì)算的初衷。張東表示,在云計(jì)算環(huán)境下給用戶提供一個(gè)安全可信的環(huán)境,整合了操作系統(tǒng)虛擬化,用戶只要把自己的應(yīng)用部署上去就行,這就是浪潮思考的問(wèn)題。這樣,用戶既能獲得云基礎(chǔ)設(shè)施的安全,又不用做太多的安全管理或者配置。

構(gòu)建可信計(jì)算環(huán)境,相對(duì)于網(wǎng)絡(luò)邊界和網(wǎng)絡(luò)傳輸,浪潮的重心在計(jì)算安全。作為計(jì)算存儲(chǔ)和虛擬化的整體解決方案供應(yīng)商,它在這一塊更容易形成優(yōu)勢(shì)。而且可信計(jì)算更容易和底層硬件整合,和操作系統(tǒng)、應(yīng)用整合則會(huì)影響原來(lái)的體系結(jié)構(gòu),還遇到相互之間怎么限制的問(wèn)題。

據(jù)蔡一兵介紹,除了通過(guò)自主可控提供可信的安全感覺(jué),在可信的技術(shù)層面,浪潮致力于計(jì)算機(jī)體系架構(gòu)缺陷。他表示,解決計(jì)算機(jī)體系架構(gòu)缺陷,最核心的技術(shù)是完整性的度量。可信計(jì)算基于哈希算法解決完整性的問(wèn)題。也就是說(shuō),當(dāng)病毒或木馬修改用戶的文件,可信計(jì)算通過(guò)完整性度量的方式能夠發(fā)現(xiàn)這種改動(dòng)。即便是獲得合法授權(quán)的人想要做一些非法的事情,這種方式也可以輕松發(fā)現(xiàn),傳統(tǒng)的應(yīng)用層掃描的方式則不能。完整性度量的機(jī)制在惡意的代碼或者惡意的攻擊之前啟動(dòng),因而能夠很好地解決計(jì)算機(jī)破壞機(jī)理性的問(wèn)題。

可信計(jì)算技術(shù)要形成,產(chǎn)業(yè)中間有很多環(huán)節(jié),合作形成生態(tài)的合作圈一起推動(dòng)是王道。浪潮現(xiàn)在跟武漢大學(xué)、中科信科所在國(guó)家863、973里面有技術(shù)層面的合作。在產(chǎn)業(yè)層面的合作,浪潮有安全主機(jī)產(chǎn)業(yè)聯(lián)盟,聯(lián)盟中包括了國(guó)內(nèi)科技和安全廠商。此外,浪潮也和客戶進(jìn)行合作,以解決不同行業(yè)客戶的安全需求的差異性。

再好的技術(shù)也需要形成產(chǎn)品解決方案才能讓客戶受益。基于可信技術(shù),浪潮在大會(huì)上推出了國(guó)內(nèi)首款云主機(jī)安全產(chǎn)品解決方案。據(jù)悉,浪潮云主機(jī)安全可信關(guān)鍵技術(shù),融合了可信計(jì)算、操作系統(tǒng)加固、虛擬計(jì)算安全等技術(shù),以可信芯片為根,構(gòu)建鏈接固件、VMM、Guest OS和上層應(yīng)用的軟硬一體化信任鏈,同時(shí)結(jié)合虛擬化加固、虛擬網(wǎng)絡(luò)控制、操作系統(tǒng)加固等安全手段,應(yīng)對(duì)云主機(jī)威脅。

  浪潮可信服務(wù)器

據(jù)悉,基于這樣的理念,浪潮已經(jīng)為山東省某行業(yè)搭建了云安全防御基礎(chǔ)框架,在云主機(jī)安全可信、云服務(wù)受控訪問(wèn)、云安全感知與服務(wù)等方面初步形成方案和應(yīng)用能力。

值得一提的是,浪潮在提供高度集成的一體化整體解決方案滿足客戶高等級(jí)安全需求的同時(shí),也單獨(dú)提供可信服務(wù)器、操作系統(tǒng)加固等產(chǎn)品,靈活地滿足用戶不同的實(shí)際需求,但整體解決方案會(huì)有一些優(yōu)化設(shè)計(jì),包括安全性、資源各方面都會(huì)加強(qiáng)。

1.0版本的云主機(jī)安全可信解決方案支持Xen,但下一步浪潮計(jì)劃支持KVM,并且還要和云海OS平臺(tái)深度融合。浪潮還表示,未來(lái)發(fā)展到軟件定義的架構(gòu),安全還要變化,方案也會(huì)跟著演進(jìn)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)