云計(jì)算的定義有廣義和狹義之分,,很清晰,。但是對(duì)于什么是云計(jì)算安全,,業(yè)界卻沒(méi)有明確的說(shuō)法,。在了解云計(jì)算安全之前,,我們先要明確一點(diǎn),,云安全和云計(jì)算安全是兩個(gè)概念,,不能混淆。
我看到過(guò)很多安全廠商所提出的云計(jì)算解決方案,,以此為基礎(chǔ),,我嘗試著對(duì)云計(jì)算安全給出一個(gè)個(gè)人說(shuō)法。我認(rèn)為,,目前,,狹義的云計(jì)算安全包含三個(gè)核心技術(shù)方向,分別是訪問(wèn)控制,、數(shù)據(jù)加密和對(duì)虛擬機(jī)的安全防護(hù)手段,。而廣義的云計(jì)算安全則包括云服務(wù)提供商所采取的各種網(wǎng)絡(luò)安全措施,例如防DDoS攻擊技術(shù),。
訪問(wèn)控制:確認(rèn)用戶身份
已經(jīng)有云計(jì)算服務(wù)提供商利用訪問(wèn)控制來(lái)增強(qiáng)云計(jì)算的安全性,。
PivotLink公司提供基于云的、按使用付費(fèi)的商業(yè)智能服務(wù),。它與Novell合作并對(duì)后者的云安全服務(wù)進(jìn)行了beta測(cè)試,。
PivotLink負(fù)責(zé)開發(fā)的高級(jí)副總裁Bob Kemper說(shuō):“我們從插入在客戶的服務(wù)中的Novell服務(wù)獲得認(rèn)證功能。目前我們使用身份管理和他們的認(rèn)證服務(wù)來(lái)管理安全水平,。Novell與所需的企業(yè)系統(tǒng)進(jìn)行集成來(lái)提供對(duì)信息的訪問(wèn),。”
PivotLink的許多客戶是各公司的零售經(jīng)理。在使用Novell的云安全服務(wù)時(shí),,這些客戶不必使用運(yùn)行在企業(yè)內(nèi)部的Novell軟件,,只要使用任意LDAP或Active Directory基礎(chǔ)設(shè)施就行。
這種基于云的服務(wù)使用基于SAML的認(rèn)證,。與Novell合作進(jìn)行beta測(cè)試的協(xié)議允許客戶可以自動(dòng)刪除離職的商店經(jīng)理的賬戶并給新上任的經(jīng)理自動(dòng)添加授權(quán)使其能夠使用PivotLink的服務(wù),。
Kemper說(shuō):“我們的客戶表示需要某種形式的管控和審計(jì)。則使得他們對(duì)把敏感數(shù)據(jù)上載到云中感到更放心。
Novell云安全業(yè)務(wù)部總經(jīng)理DiptoChakravarty說(shuō),,Novell與許多軟件服務(wù)化,、托管提供商進(jìn)行接觸,了解他們對(duì)與Novell在基于云的安全服務(wù)方面開展合作的興趣,。
有一種設(shè)想是,,Novell必須起到技術(shù)協(xié)議“中立國(guó)”的作用,支持SAML1.1,、SAML2,、WS-Fed、InfoCard和OpenID以及企業(yè)端的Shibboleth,。Chakravarty表示,,Novell云安全服務(wù)是真正的多客戶托管安全解決方案,,它可以由SaaS的托管服務(wù)商托管,,或由Novell的合作伙伴托管。
EMC信息安全事業(yè)部RSA首席技術(shù)官Bret Hartma表示,,專業(yè)的安全廠商可以滿足云計(jì)算服務(wù)提供商三個(gè)方面的安全需求:
第一方面,,保護(hù)云服務(wù)提供商免受外來(lái)攻擊。
第二方面,,滿足云計(jì)算環(huán)境中不同租戶之間的數(shù)據(jù)獨(dú)立性,。在一個(gè)云環(huán)境中通常會(huì)有兩個(gè)以上的租戶,他們之間的數(shù)據(jù)不能互相干擾,。而且在未經(jīng)授權(quán)的情況下,,一個(gè)用戶不能訪問(wèn)另外一個(gè)用戶的數(shù)據(jù)。
第三方面,,確保云服務(wù)提供商自身平臺(tái)安全,,比如訪問(wèn)控制、身份認(rèn)證等基礎(chǔ)性的要求,。只有滿足這三方面的需求,,企業(yè)才能非常放心地將他們的應(yīng)用轉(zhuǎn)移到云平臺(tái)上。
加密:保證數(shù)據(jù)自身安全
企業(yè)通常在網(wǎng)絡(luò)的邊界部署安全設(shè)備,,用來(lái)拒絕外部非授權(quán)用戶的訪問(wèn),。然而在虛擬化環(huán)境中,虛擬IT服務(wù)不存在物理邊界,。于是,,企業(yè)必須假設(shè)所有傳輸?shù)臄?shù)據(jù)都有潛在的被攔截風(fēng)險(xiǎn)。
沒(méi)有了物理控制,,就必須依靠其他加固原理來(lái)限制對(duì)信息的訪問(wèn),。信息的加密是其中最重要的方法,它可以限制對(duì)有用信息的訪問(wèn),這種限制甚至超過(guò)了對(duì)物理系統(tǒng)的保護(hù)級(jí)別,。所以,,加密成為了保證云服務(wù)安全性的關(guān)鍵性部分。
賽門鐵克資深信息安全顧問(wèn)林育民表示,,在保護(hù)云端的數(shù)據(jù)安全方面,,賽門鐵克正在研發(fā)新的用戶密鑰管理技術(shù),來(lái)保護(hù)用戶數(shù)據(jù)的安全,。
趨勢(shì)科技執(zhí)行副總裁暨中國(guó)區(qū)總經(jīng)理張偉欽認(rèn)為,,如果企業(yè)把數(shù)據(jù)放到云服務(wù)提供商那里,數(shù)據(jù)的加密和解密就很重要,。密鑰一定要在企業(yè)自己的口袋里,,別人只要沒(méi)有密鑰,就不能看到數(shù)據(jù),。需要注意的是,,鑰匙一定不要放在IT部門,而且資料的保存者和鑰匙的擁有者一定要分開,。
虛擬機(jī)防護(hù):傳統(tǒng)安全釋放新活力
在保護(hù)云計(jì)算環(huán)境的安全方面,,一些國(guó)外的安全廠商,例如StillSecure和Alert Logic,,已經(jīng)開始提供入侵檢測(cè),、入侵防御服務(wù),保護(hù)云服務(wù)提供商那里的基于虛擬機(jī)的服務(wù)器,。
為醫(yī)院和醫(yī)療保健機(jī)構(gòu)提供病歷管理的Automated Document Solutions(ADS)公司IT主管Mike Crews表示,,ADS使用Host.net作為云提供商。當(dāng)幾個(gè)月前Host.net開始與StillSecure合作提供IDS/IPS服務(wù)時(shí),,ADS訂購(gòu)了服務(wù),,享受這類全天候監(jiān)測(cè)的好處。
Crews說(shuō):“ADS很難自己部署這類功能,,因?yàn)镾tillSecure這樣的安全專家才能做好此類事情,。”Crews說(shuō)到目前為止,StillSecure提供的這項(xiàng)安全服務(wù)運(yùn)行的很好,。StillSecure擁有自己的網(wǎng)絡(luò)運(yùn)營(yíng)中心,,這個(gè)運(yùn)營(yíng)中心監(jiān)測(cè)運(yùn)行在Host.net那里的ADS虛擬機(jī)上的情況。服務(wù)的費(fèi)用為每10臺(tái)虛擬機(jī)每月支付250美元,。ADS認(rèn)為這樣的費(fèi)用是可以承受的,。
另一家云基礎(chǔ)設(shè)施提供商——iland公司CTO Justin Giardina說(shuō),iland在一年多以前便開始通過(guò)安全公司Alert Logic在其數(shù)據(jù)中心提供IDS/IPS監(jiān)測(cè)服務(wù),。
iland的每家云客戶通常會(huì)得到基于VMware虛擬機(jī)的虛擬LAN分段,、防火墻保護(hù),。另外,客戶還可以選擇讓Alert Logic從自己的網(wǎng)絡(luò)運(yùn)營(yíng)中心監(jiān)測(cè)這些虛擬機(jī),。
Alert Logic的監(jiān)測(cè)使用基于主機(jī)的軟件,,該軟件運(yùn)行在管理程序級(jí)。Alert Logic IDS/IPS服務(wù)可以被配置為通過(guò)觸發(fā)Cisco ASA防火墻(例如檢測(cè)到問(wèn)題)的自動(dòng)響應(yīng)來(lái)自動(dòng)保護(hù)某個(gè)網(wǎng)段,。
有不到四分之一的iland客戶使用這個(gè)Alert Logic服務(wù),。雖然Alert Logic負(fù)責(zé)對(duì)虛擬機(jī)的24X7監(jiān)測(cè),并且與客戶建立直接的關(guān)系,,但是如果發(fā)生安全事件,,iland也可能會(huì)牽扯進(jìn)來(lái)。
Giardina說(shuō):“不是每個(gè)人都懂得打補(bǔ)丁的重要性,。”他談到了因黑客和惡意軟件造成的服務(wù)器安全受到損害,,iland有時(shí)也收到Alert Logic的通知來(lái)回應(yīng)安全事件。
雖然除了Alert Logic提供的安全服務(wù)外,,iland當(dāng)前沒(méi)有增加更多第三方安全服務(wù)的計(jì)劃,,但Giardina說(shuō),iland正在研究建立基于賽門鐵克軟件的病毒掃描和防護(hù)服務(wù)的可能性,。賽門鐵克的新軟件將利用基于VMware的VMsafe API實(shí)現(xiàn)管理程序級(jí)的監(jiān)測(cè)功能,。
雖然沒(méi)有在中國(guó)進(jìn)行重點(diǎn)宣傳,,但是在保護(hù)云計(jì)算安全方面,,領(lǐng)先的安全廠商都有自己的計(jì)劃和產(chǎn)品。
Check Point中國(guó)區(qū)總經(jīng)理劉偉表示,,VPN-1 Power VSX 是專門為基礎(chǔ)設(shè)施整合而設(shè)計(jì)的虛擬化安全網(wǎng)關(guān),,對(duì)協(xié)助企業(yè)加強(qiáng)對(duì)云計(jì)算等一類虛擬化環(huán)境的安全控制有幫助。對(duì)于云服務(wù)供應(yīng)商而言,,VSX可以輕而易舉地協(xié)助他們提供新的安全服務(wù),,因此是發(fā)掘新收入來(lái)源的理想平臺(tái)。這些新安全服務(wù)包括增值虛擬化內(nèi)容過(guò)濾,、VPN,、網(wǎng)絡(luò)分區(qū)及防火墻服務(wù)。
在今年的RSA安全大會(huì)上,,SonicWALL推出了兩款安全虛擬設(shè)備——全球管理系統(tǒng)虛擬設(shè)備與ViewPoint虛擬設(shè)備,。SonicWALL產(chǎn)品管理副總裁PatrickSweeney說(shuō):“企業(yè)部署的虛擬設(shè)備需要能夠提供關(guān)鍵的安全性能并有助于提高工作效率,才能充分發(fā)揮設(shè)備優(yōu)化,、更低成本,、數(shù)據(jù)中心容量充分利用以及云計(jì)算基礎(chǔ)設(shè)施的優(yōu)勢(shì)。SonicWALL最新推出的產(chǎn)品可幫助大中型企業(yè)在虛擬化環(huán)境中開發(fā)可擴(kuò)展的安全解決方案,。”
趨勢(shì)科技在收購(gòu)Third Brigade后,,經(jīng)過(guò)一年多的整合和聯(lián)合開發(fā),推出了面向云計(jì)算架構(gòu)虛擬服務(wù)器保護(hù)的Deep Security 7.0新產(chǎn)品。據(jù)張偉欽介紹,,作為一款全新的保護(hù)虛擬化服務(wù)器的安全解決方案,,Deep Security 7.0將云計(jì)算環(huán)境中的全部服務(wù)器納入保護(hù)范圍,包括操作系統(tǒng),、網(wǎng)絡(luò),、應(yīng)用程序等,不論用戶使用的是何種運(yùn)算環(huán)境,、虛擬化平臺(tái)或儲(chǔ)存系統(tǒng),,它都能提供優(yōu)異而完整的安全保護(hù)。
Deep Security 7.0的主要特色包括:在云端服務(wù)器中設(shè)置一套防護(hù)模式,,預(yù)防信息的外泄與中斷;降低虛擬環(huán)境和云計(jì)算環(huán)境的安全管理成本;協(xié)助實(shí)現(xiàn)各種法規(guī)與標(biāo)準(zhǔn)的遵從要求,,例如PCI、HIPAA等;為云計(jì)算數(shù)據(jù)中心解決各種黑客攻擊問(wèn)題,,如SQL注入攻擊,、跨站攻擊等。
云計(jì)算的絆腳石
云計(jì)算描繪了一幅美妙的未來(lái)圖景,。然而,,企業(yè)們發(fā)現(xiàn)通向美好愿景的是一條艱辛之路,數(shù)據(jù)保護(hù)和虛擬環(huán)境中的風(fēng)險(xiǎn)管理讓人望而卻步,。毋庸置疑,,安全問(wèn)題已經(jīng)成為了阻礙云計(jì)算發(fā)展的最大“絆腳石”。
在2010年RSA大會(huì)上,,RSA總裁科維洛表示,,“有些事情阻礙了云這一愿景的充分實(shí)現(xiàn)。簡(jiǎn)單地說(shuō),,那就是安全,。據(jù)調(diào)查,有51%的首席信息官認(rèn)為安全是云計(jì)算最大的顧慮,。安全沒(méi)有跟上云計(jì)算的步伐,。”
云安全聯(lián)盟所做的調(diào)查研究指出,業(yè)在選擇云服務(wù)時(shí)面臨著惡意攻擊和數(shù)據(jù)意外丟失的雙重危險(xiǎn),。最關(guān)鍵的問(wèn)題是應(yīng)用程序編程接口(API)開發(fā)工具十分脆弱,。研究人員表示,企業(yè)將眾多的其他服務(wù)捆綁到一個(gè)云計(jì)算應(yīng)用程序上,,無(wú)形中使得自己暴露出了最薄弱,、最易受攻擊的環(huán)節(jié),其中任意一個(gè)服務(wù)受到損害,,將會(huì)導(dǎo)致所有連接的其他應(yīng)用程序遭到攻擊,。
另外,,根據(jù)獨(dú)立研究與產(chǎn)業(yè)分析報(bào)告顯示,虛擬化后的企業(yè)數(shù)據(jù)中心的安全狀況令人擔(dān)憂,,盡管95% 的數(shù)據(jù)中心在 2009年都已采用了虛擬化技術(shù),,然而生產(chǎn)環(huán)境中的虛擬機(jī)器有60%以上比物理主機(jī)更缺乏安全防護(hù)。更糟糕的是,,虛擬化為云計(jì)算提供了很好的底層技術(shù)平臺(tái),,這些被虛擬化的設(shè)備和存儲(chǔ)空間,大多已經(jīng)成為云中的重要成員,。
由于云計(jì)算是一個(gè)開放的環(huán)境,,沒(méi)有清晰定義的網(wǎng)絡(luò)邊界,云端部署的應(yīng)用程序與操作系統(tǒng)受到攻擊的可能性就會(huì)很大,,很多計(jì)算資源今后都會(huì)面臨更多的風(fēng)險(xiǎn),,安全形勢(shì)會(huì)變得越來(lái)越嚴(yán)峻。所以,,盡管安全廠商已經(jīng)做出了很大的努力,,但還需要讓云計(jì)算的安全性變得更好。