云安全云计算 迷团大揭幕
发布日期:2016-2-21 17:2:23
若说2009年信息安全产业的热点,毫无疑问“云安全”技术当之无愧。据记者观察,无论是新技术还是新应用,业内众多主流安全厂商都在向“云”靠拢。有意思的是,随着云安全应用的重要性日益凸现,针对云端服务器(如阿里云服务器)群组的保护技术也推陈出新。 可以说,当前的这朵“云”越来越有味道了。 理解云安全技术 在大家理解“云安全”技术之前,记者首先要强调一点,就是云安全并非绝对的新技术。事实上,伴随着云计算技术的发展,云安全是逐渐发展至今并得以实用化的。追溯到2007年底开始,全球范围内的恶意软件、攻击行为日益复杂并且变得难以防御,在“海量威胁”的压力下,传统的基于“签名”的安全防预技术受到了挑战,而这恰恰给了“云安全”技术发展的空间。 此前Fortinet中国区技术总监李宏凯在接受本报独家专访时指出:“云安全最重要的技术特点在于其分部式运算的强大能力和客户端的安全配置精简化,也就是用户们经常谈到的瘦客户端发展趋势。 这点对于企业用户而言确实具有明显的安全性提升和降低客户端维护量的优势。本身云安全技术也提供了对未知威胁的评估和防御推送能力,因此在安全防御级别上无疑是有明显的进步。” 他同时表示,目前云安全重要的推动力主要是威胁的多样化发展和动态性,现在的用户越来越多的感觉到单一的防御技术很难做到有效的防御效果。应用的多样化使得当前的攻击具备了多种途径的感染,传播和触发的方式。比如说部分邮件承载的恶意代码可以通过垃圾邮件方式进行部分检测,如邮件信誉列表技术等。这个层次没有阻拦成功,那么就要分析邮件内容的威胁,要用病毒解码分析技术。当个体主机被感染后,系统进程会和网上服务器自动互连进行木马程序下载和传播,这时候系统命令层的检测就要发挥作用。因此可以看到,多样化威胁的防御需要动态的多层次的检测能力。而云安全的高级特征分析能力为用户提供了多层次的威胁防御分析,也在很大程度上提高的实际安全效能。 基于此,记者希望广大企业用户一定要理解一个观点:“云安全”技术是未来内容安全防护技术发展的必由之路。因为从目前的技术发展来看,这已经是一个无法回避的趋势。 对此,趋势科技资深安全顾问徐学龙表示,由于用户规模和网络应用的快速增长,Internet上的网络威胁数量也呈爆炸性增长。据AV-test.org统计,目前每天产生的新恶意程序在三万支左右,通过制作病毒代码来防护网络威胁的传统技术已不能提供有效防护,“云安全”采用云计算的处理机制,能够将Internet上的网络威胁位置计算出来,在网络威胁到达网络前进行阻止,一方面实现了广谱防护,另一方面实现高效、及时的防护。 需要注意的是,云安全内在的机制是“云计算”技术,由于Internet接入带宽价格的不断下降和通信质量的不断提升,云安全目前的活力开始被激活,并且在2009年衍生为市场最新的热点。 持同样看法的,还有Wedge Networks的全球CEO张鸿文博士。他说:“云安全目前很热,而且这个技术本身联合了两个领域:云计算和基于网络的威胁防御。”不过有意思的是,他对于目前“云安全”概念的精准性提出了质疑,“安全的各个角落都在提云安全,这有点像当年软件领域的‘人人皆SaaS’。严格来看,‘云安全’必须要为企业的数据中心、服务器群组、以及端点提供强制的安全防御支持。” 不过他也无可奈何地表示,不管真正的定义如何,目前安全界已经在遭遇来自“云”的一刀切:支持云安全或者不!从狭义上看,只有支持云安全技术的安全产品,才能在端点安全、企业IT基础设施防御、以及服务器和桌面防御上确保实时、可靠的安全签名升级与技术支持服务。 细心的读者可以发现,云安全从技术原理上解释,有时候就像天空中的云朵一样,看得见摸不着。不过作为“云安全”技术的实际使用者,郑州轻工业学院的技术负责人程源老师表示,“云安全”是一个老概念,以前企业都是用分布式架构来做安全体系,只不过现在叫“云”了,但归根结底这种技术的主要目的还是要完善各个结点、各个位置的安全防护措施。换句话说,如果以前是单兵作战的话,“云安全”之后就是集团作战。 云安全的技术标准 目前业内对“云安全”的技术争论,很大一部分集中在标准的制定上。此前徐学龙向记者表示,“云安全”技术实现的是庞大云端和瘦客户端的结合,所以如何构建有效的智能威胁收集系统、计算云系统、服务云分发系统就变得非常重要。用户在选择的时候一方面要选择在这方面有较深积累的厂商,另一方面要 看正在应用的客户群规模,因为一种新技术的成熟离不开长期的开发和大量的客户基础。 事实上,云安全技术由于推出的时间不长,所以技术尚在完善过程中,而且由于网络威胁是动态变化的,所以安全技术永远都处于不断研发、不断前进的过程中。在目前来看,如何有效快速分析和快速递交,仍是大多数厂商需要解决的问题。 “从趋势科技‘云安全’技术的推广来看,用户对云端响应的支持模式还是非常容易接受的,而且由于采用本地服务器群响应、缓存支持和企业内部云服务器同步等技术,‘云安全’的性能问题已经得到了解决。”徐学龙如是说。 另外,如果从网络与安全的两个层面考虑,李宏凯的看法是,“云安全”是由保护实体和服务网络两部分组成。相对应的,在保护实体部分要有完善的多样化威胁的检测能力,如邮件安全,网页安全,数据安全,系统安全等比较清楚的分类保护选择,这样能让用户对保护实体的安全防御方向和内容有比较清晰的认识。另外,在保护实体和云网络的服务通信方面应该具有一定的可视性,比如邮件安全/系统安全/网页安全等安全套件的云网络连接状态等。 “云安全”对各厂家而言还是有程度上的不同,它代表的是一种服务模式,不同产品的实际防御范畴的定义还不尽相同,因此在实际的防御效果上用户的体验也是不一样的。 他表示:“业内厂家趋于一致的国际化概念,都会重点强调‘云安全’保护实体、实现威胁统一化检测的能力,这一点也是大部分厂家都需要不断加强的。当然,站在Fortinet的角度看,还会强调更多的云网络的服务模式,这样可以更加方便企业用户去理解‘云安全’的应用。” 有趣的是,张鸿文博士在谈到“云安全”的技术标准时非常坦率,他说:“国内用户关注标准自然无可厚非,但遗憾的是,很少有用户能够理解并且真正搞懂这些标准,无论美国、加拿大、还是中国,用户关心的是,‘能够用哪些看得见的手去摸到云本身’。” “‘云安全’技术在选择上面临多种需求的压力:第一,一个强壮、安全的‘云安全’方案,是否会影响企业网络本身的性能,甚至带来额外的故障点?第二,很多用户希望能够快速、精准地检测到来自Web的安全威胁,但是用户有没有关心安全设备自身的威胁签名列表数据库容量是否足够大?第三,随着越来越多的安全威胁嵌入到应用程序之中,简单、传统的封包检测是否还能应付?第四,如果厂商不能提供多区域分布数据库的主机服务,拥护是否会面临有云无响应的风险?第五,不同厂商提供的‘云安全’方案横跨终端与网关,应用与更新过程中是否会出现兼容性风险?”张鸿文如是说。 的确是这样,当选择一个“云安全”解决方案的时候,终端用户的考量是非常重要的问题。此前南宁市财政信息中心主任刘波在接受记者采访时透露,他们最初对云安全的技术不是很了解,但是随着越来越多安全公司的介入,他们身边很多同行都非常关注“云安全”技术的发展,并且不少同行都在参与一些产品测试。从他了解的情况看,支持“云安全”技术的安全产品在使用和实施上确实具有简单、高效的优势,对比的安全效果很明显,特别是能够保证安全技术不给企业网络的通畅造成负担。 不过说到利用云计算的技术完善信息安全体系结构,刘波主任对此表示仍有待考察,因为对于通过网云实施的安全服务与响应,还需要进一步的体验。 警惕云安全跟风潮 不难看出,“云安全”从技术选择到方案部署都十分复杂,但有意思的是,除了本文接触到的三家国外安全大厂,目前市面上宣称支持“云安全”技术的本地厂家却多如牛毛。这种现象在三年前的UTM市场一样出现过,并最终导致传统UTM产品的溃败。 有业内专家表示,目前业内安全厂商的跟风现象严重,一时间所有的网络安全厂商都推出了各种形式的“云安全”方案。 第一,这说明安全厂家都意识到对多样化安全威胁防御的重要性,对统一安全服务网络发展方向具有相同的认识,从这点上来说,对市场和用户而言是有积极意义的。 第二,由于这种跟风现象,也让部分用户在使用各式各样的“云安全”产品时拥有“非常不同”体验,有些确实令人不快。在记者看来,最重要的还是要有真正适合统一威胁防御技术的产品和24x7的云服务网络,才能让用户真正使用上云网络的优势,这种服务要有可视性,要真正得到用户认知。 云保护必不可少 在记者看来,“云计算老,云安全新”,已经成为不争的事实。但这一老一新如何能让用户放心使用,需要走的路还很长。事实上,从2008年底,IDC、Gartner等咨询机构纷纷作出了安全厂商们的云端服务器(如阿里云服务器)群组存在安全隐患,以及用“云安全”方案保护企业用户服务器群组需要完整考虑等报告。针对此问题,一些安全大厂纷纷在今年年初开展了各式各样的针对服务器的“云保护”运动。 据徐学龙介绍,在“云安全”技术中,云端服务群组的安全性是整个“云安全”技术应用的基础,这是当前安全领域的另一个方向,在这方面厂家的投入是最大的,几乎到了无以复加的地步。另外他也强调,趋势科技目前的解决方案侧重于保护企业用户网络的访问安全,在服务器群保护方面,云安全体系已经具有很好的安全实践:目前趋势科技云端服务器群组中的计算云有2000多台服务器分布在全球的五大数据中心,服务云有超过34000多台服务器分布在全球各个国家的电信机房内,这些服务器采用了加密认证、冗灾备份、安全隔离、服务器节点安全等多种安全防护技术。 另外,从应用的角度来看,企业用户主要看的是防护效果。此前,上海进出口检验检疫局科长吴穗玲在接受本报独家专访时表示说:“由于‘云安全’技术有非常突出的防护木马、间谍软件、恶意程序攻击的效果,所以我们的接受度很高。从实际的使用情况看,集成‘云安全’技术的产品,由于在网络威胁侵入前就进行了阻止,所以对我们的管理和维护成本与人力耗费有很大程度的降低。目前我们已经率先在检验检疫系统开创了安全监控的‘云安全’模式。” 对此,李宏凯也持同样观点,他表示云网络的健壮性和自我安全性是厂家服务网络的一部分,这是一个基础组成部分,是一个前提。每一个厂家都应该在构建云网络时就应该同步部署其健壮保护体系,作为服务网络,这是不可分割的。而Fortinet的FortiGuard云网络外围部署了完善的七层防御网关,系统是全冗余设计,并且具备的自动恢复能力,各区域网络全网状同步,因此对云端网络完全具备了健壮保护的条件。 据了解,FortiGuard云安全服务网络为全球每一个FortiGate安全网关提供分布式安全服务,采用推送式的安全更新和分析验证保证客户端得到全球化的安全分析服务,每周几亿条威胁样本分析能力和更新,每个客户端的网关节点都能共享不同区域的最新威胁分析成果。 FortiGuard云安全服务网络能够分析客户端安全网关提交的安全鉴别请求和查询,并快速提供分析结果,使客户端网关在最简化配置下具备了最大强度的安全防御能力。 在此需要强调的是,“云安全”也好,“云保护”也罢,其最重要的一点就是让用户体验到统一威胁防御和云服务网络的实际效果。换句话说,保护企业实体的安全防御能力是第一步,“云安全”是一种服务模式,用户最直观的还是要看安全保护实体的部分,毕竟这是在用户端的产品,是用户可感知的部分。当用户认识到使用的保护实体在不同威胁上的一致化防御效果,那么自然就容易接受触摸不到的那部分云端服务群组。 权衡好处与风险 随着云计算的安全缝隙变得更加显而易见,用户开始寻找保护数据安全的途径。纽约投资银行金融服务机构Cowen公司CIO Daniel Flax依靠云计算实现公司销售活动自动化。尽管他对云计算降低前期费用、减少停机时间和支持额外的服务的潜力感到满意,但他承认他必须努力了解这项新兴技术的安全弱点。他说:“安全是我们必须直接面对的挑战之一。” 设在多伦多和新斯科舍省Halifax的交互生产公司Stitch Media的所有者兼IT主管Evan Jones也担心云计算安全问题。他说:“当你把重要的公司数据交给第三方时,想起来就感到害怕。” 同数量越来越多的IT经理一样,Flax和Jones开始意识到云计算在安全方面没有为公司提供免费班车。去年发表的一份Gartner报告确定了对几个领域中的安全风险的担心,如数据隐私以及完整性与遵从性管理,这些担心应当令那些考虑冲进云计算的人放慢脚步。 Gartner分析师Jay Heiser警告说:“企业,特别是那些属于管制行业的企业,必须权衡云计算服务带来的业务好处与风险。” 云计算最大的风险之一源于其性质:它允许数据被传送和保存在几乎任何地方――甚至分开保存在世界不同位置。尽管数据散布帮助使云计算具有成本和性能优势,但不利之处是企业信息可能保存在放置在隐私法松弛或者甚至不存在的位置中的存储系统中。 Flax使用Salesforce.com公司的Force.com平台实现Cowen全球销售系统自动化。他说确保数据避免存在风险的目的地的最佳办法是与一家是上市公司的云厂商合作,由于是上市公司,因此法律要求该厂商披露它是如何管理信息的。 Flax说,Salesforce.com是上市公司,“因此,我们对管理它们的数据中心的严格的流程和规定感到放心。”他说:“我们知道我们的数据在美国,我们拥有有关我们谈论的数据中心的报告。” 纽约州Troy市的Agora Games是一家建设视频游戏玩家Web社区的公司。该公司对它的云计算提供商Terremark Worldwide将它的数据和应用放在何处做不了主。但Agora的首席技术官Brian Corrigan说,这种情况不久会改变。 他说,Terremark不久将为Agora提供“挑选虚拟机实际上在何处运行的选择。目前,惟一的选择是Miami的设施,但Terremark将增加其它位置,因此这将成为我们可以控制的问题。” 遵从性问题 由于云计算将业务数据交到外部提供商手中,因此它使法规遵从性变得比系统保留在公司内部时的风险更大。失去直接的监管意味着客户公司必须验证服务提供商努力确保数据安全性和完整性坚固可靠。 Heiser指出任何云计算提供商应当自愿进行外部审计和安全认证,以确保特定控制的质量。他说:“不愿意合作是个警告标志。” 从业于严格管理的金融服务行业的Flax依靠SAS 70审计来确保他的云计算提供商符合政府和行业要求。他说:“现在有规定数据中心的SAS 70审计有什么要求的标准。” 由美国认证公共会计师协会开发的SAS 70审计涉及数据传输与保存技术和实践,包括网络运营、数据保护和物理安全元素。 Flax说:“我们非常仔细地阅读了这些审计标准,因为同审计某个人的账本一样,仅仅由于审计是全面的并不意味着它们完全符合要求。” 总的来看,IT经理越来越意识到云计算的安全弱点并控制它们的事实表明采用者开始现实地而不是透过有色眼镜看待这种新兴技术。 密切跟踪 云计算散布的性质也使跟踪未经授权的活动充满挑战,即使在采用仔细的日志程序的时候。几乎所有云计算提供商(如阿里云)都使用加密技术,如安全套接层技术,来保护传输中的数据。但Heiser指出,确保存储的数据被加密也很重要。他说:“如果数据保存在共享环境中(这种情况很常见),你可以设想未加密的数据可能被未经授权的人员阅读。” Indian Harvest Specialtifoods是明尼苏达州Bemidji市一家向世界各地的餐馆配送大米、谷物和豆类的公司。公司IT主管Mike Mullin说,他依靠提供商NetSuite公司来确保他发送到云中的数据得到全面的保护。他说:“由于使用了SSL,我对我们的数据是安全的非常自信。如果不是这样的话,我想很多人会遇到问题,而整个云计算行业也会遇到问题。” Mullin指出,云计算采用者还必须谨慎评估他们自己的基础设施和安全实践,尤其是访问控制。他说:“你的基础设施与提供商的基础设施一样存在弱点。” 使用Amazon.com公司的S3云平台与全布的全球的雇员和承包商共享文件的Jones也认为访问控制至关重要。他说:“我们发现当我们分配不同的级别时,该系统能最好地满足我们。”敏感级别最高的文档根本不传送到云中;它们被本地保存。Jones说:“有一些文档我们不准备传送到云中,但我要说95%的文档不属于这个级别。” Corrigan说,全面的云计算安全需要一种整体的实现方式。他建议:“为了取得超级安全的数据,从如何保存它们入手,然后解决如何传输它们。通过某种双因素认证方案管理访问。如果你真正担心的话,你可以将你自己的认证服务器保留在公司内部――这保证你掌握控制权。” 安全云计算五步走 了解云计算特有的松散结构对传送到它上面的数据安全有何影响。 确保云提供商能够提供有关其安全架构的详细信息并愿意接受安全审计。 确保内部安全技术和实践,如网络防火墙和用户访问控制,可以很好地契合云安全措施。 了解法律、法规对传送到云中的数据有何影响。 关注可能影响到数据安全的云技术和实践的变化。 突破云计算的迷雾 云计算是当前最热门的话题,无论是Google、微软,还是IBM、SUN他们都发布了云计算计划以及相关产品。但是对于普通消费者来讲,云计算到底是什么?又能够给消费者带来什么? 云计算其实简单的讲,就是简化客户端的处理能力,将更多的处理任务交给云计算端去做,两者之间通过互联网交换数据,最为典型的就是互联网搜索、邮件等服务,数据存储在互联网之上,而不是客户端计算机中,需要使用就可以随时获得。 同时,我们也看到微软虽然也积极的参与云计算,但是他们仍然担心开发云计算会砸掉自己的office等桌面软件生意,因为当一切都交给云端去处理的时候,使用在线编辑和存储,office桌面软件就不值钱了,即使降到199元一套,也会无人问津,这个时候微软这台印钞机就会挂掉。 而Google作为云计算的倡导者,也是为了颠覆微软的桌面软件系统,推出了多种apps,包括gmail、office online,也在构建大型的数据中心,希望将更多的数据都放到数据中心来运行,而并非客户端,但是到如今Google仍没有针对中国的中小企业以及个人推出云计算服务,原因是Google也有自己的顾虑,最重要的是这是否会影响其广告收入。 而SUN以及ORACLE虽然也提出要做云计算,但是同样存在顾虑。基于云计算的软件即服务SAAS正在利用云计算去替代桌面软件,oracle和sap等企业必然受到冲击,对于中小企业有较大的吸引力,而SUN是做服务器,如果中小企业不再需要自己搭建IT系统,那么SUN的服务器卖给谁? 既然微软、Google都存在自己的顾虑,所以笔者认为他们提出云计算的概念和计划只是为了抢占市场先机,同时也是为了抢先注册专利。用户等待他们大规模的推出云计算,估计不是一年两年的事情。但是这并不意味着,我们无法享受云计算这种成本更低的技术,因为在网络安全领域完全可以使用云计算降低成本,为用户带来更好的安全服务。 前几天,有消息说趋势科技公司在做“云安全”,大意是利用趋势科技在全球各地3万余台服务器,实时收集趋势科技全球用户的应用请求,并通过在云端的计算,判断这些请求是否是安全的,比如,一条链接或者一个按钮,趋势科技先通过存储在其云端的数据对这些请求进行鉴别,分析其是否是安全的链接和按钮,并瞬间给客户以反馈。 云端强大的存储和处理能力,完全可以保证用户得到的反馈是同步的,而目前的杀毒软件则无法实现这种快速分析处理,一般都是马后炮,也就是说只有大规模的感染了病毒,而这些病毒必须是他们事先存入服务器的代码,如果是变种病毒则无法拦截,我们看到臭名昭著的熊猫烧香病毒,杀毒软件们都是无能为力。 而通过遍布全球的服务器构建一个强大的云端,完全能够拦截病毒变种,而且这也大大减少客户端的处理任务,减少客户端内存占用,无需按时杀毒和升级软件,因为云端和客户端随时通过互联网交互信息,所有计算放到云端上进行,这大大节约了成本和时间,有效的控制了病毒传播。 总之,云计算是未来IT互联网产业发展的趋势,虽然目前还存在各种难以普及的问题,但是无论微软、oracle等企业多么希望死守桌面软件,这种成本低廉、性能超群的云计算还是会普及,而趋势科技等企业的“云安全”已经可以为普通用户提供服务,带来价值。 上一条: 云存储可能让您的数据“赤裸示人”
|