云計(jì)算的定義有廣義和狹義之分,很清晰。但是對(duì)于什么是云計(jì)算安全,業(yè)界卻沒(méi)有明確的說(shuō)法。在了解云計(jì)算安全之前,我們先要明確一點(diǎn),云安全和云計(jì)算安全是兩個(gè)概念,不能混淆。
我看到過(guò)很多安全廠商所提出的云計(jì)算解決方案,以此為基礎(chǔ),我嘗試著對(duì)云計(jì)算安全給出一個(gè)個(gè)人說(shuō)法。我認(rèn)為,目前,狹義的云計(jì)算安全包含三個(gè)核心技術(shù)方向,分別是訪問(wèn)控制、數(shù)據(jù)加密和對(duì)虛擬機(jī)的安全防護(hù)手段。而廣義的云計(jì)算安全則包括云服務(wù)提供商所采取的各種網(wǎng)絡(luò)安全措施,例如防DDoS攻擊技術(shù)。
訪問(wèn)控制:確認(rèn)用戶身份
已經(jīng)有云計(jì)算服務(wù)提供商利用訪問(wèn)控制來(lái)增強(qiáng)云計(jì)算的安全性。
PivotLink公司提供基于云的、按使用付費(fèi)的商業(yè)智能服務(wù)。它與Novell合作并對(duì)后者的云安全服務(wù)進(jìn)行了beta測(cè)試。
PivotLink負(fù)責(zé)開(kāi)發(fā)的高級(jí)副總裁Bob Kemper說(shuō):“我們從插入在客戶的服務(wù)中的Novell服務(wù)獲得認(rèn)證功能。目前我們使用身份管理和他們的認(rèn)證服務(wù)來(lái)管理安全水平。Novell與所需的企業(yè)系統(tǒng)進(jìn)行集成來(lái)提供對(duì)信息的訪問(wèn)。”
PivotLink的許多客戶是各公司的零售經(jīng)理。在使用Novell的云安全服務(wù)時(shí),這些客戶不必使用運(yùn)行在企業(yè)內(nèi)部的Novell軟件,只要使用任意LDAP或Active Directory基礎(chǔ)設(shè)施就行。
這種基于云的服務(wù)使用基于SAML的認(rèn)證。與Novell合作進(jìn)行beta測(cè)試的協(xié)議允許客戶可以自動(dòng)刪除離職的商店經(jīng)理的賬戶并給新上任的經(jīng)理自動(dòng)添加授權(quán)使其能夠使用PivotLink的服務(wù)。
Kemper說(shuō):“我們的客戶表示需要某種形式的管控和審計(jì)。則使得他們對(duì)把敏感數(shù)據(jù)上載到云中感到更放心。
Novell云安全業(yè)務(wù)部總經(jīng)理DiptoChakravarty說(shuō),Novell與許多軟件服務(wù)化、托管提供商進(jìn)行接觸,了解他們對(duì)與Novell在基于云的安全服務(wù)方面開(kāi)展合作的興趣。
有一種設(shè)想是,Novell必須起到技術(shù)協(xié)議“中立國(guó)”的作用,支持SAML1.1、SAML2、WS-Fed、InfoCard和OpenID以及企業(yè)端的Shibboleth。Chakravarty表示,Novell云安全服務(wù)是真正的多客戶托管安全解決方案,它可以由SaaS的托管服務(wù)商托管,或由Novell的合作伙伴托管。
EMC信息安全事業(yè)部RSA首席技術(shù)官Bret Hartma表示,專業(yè)的安全廠商可以滿足云計(jì)算服務(wù)提供商三個(gè)方面的安全需求:
第一方面,保護(hù)云服務(wù)提供商免受外來(lái)攻擊。
第二方面,滿足云計(jì)算環(huán)境中不同租戶之間的數(shù)據(jù)獨(dú)立性。在一個(gè)云環(huán)境中通常會(huì)有兩個(gè)以上的租戶,他們之間的數(shù)據(jù)不能互相干擾。而且在未經(jīng)授權(quán)的情況下,一個(gè)用戶不能訪問(wèn)另外一個(gè)用戶的數(shù)據(jù)。
第三方面,確保云服務(wù)提供商自身平臺(tái)安全,比如訪問(wèn)控制、身份認(rèn)證等基礎(chǔ)性的要求。只有滿足這三方面的需求,企業(yè)才能非常放心地將他們的應(yīng)用轉(zhuǎn)移到云平臺(tái)上。
加密:保證數(shù)據(jù)自身安全
企業(yè)通常在網(wǎng)絡(luò)的邊界部署安全設(shè)備,用來(lái)拒絕外部非授權(quán)用戶的訪問(wèn)。然而在虛擬化環(huán)境中,虛擬IT服務(wù)不存在物理邊界。于是,企業(yè)必須假設(shè)所有傳輸?shù)臄?shù)據(jù)都有潛在的被攔截風(fēng)險(xiǎn)。
沒(méi)有了物理控制,就必須依靠其他加固原理來(lái)限制對(duì)信息的訪問(wèn)。信息的加密是其中最重要的方法,它可以限制對(duì)有用信息的訪問(wèn),這種限制甚至超過(guò)了對(duì)物理系統(tǒng)的保護(hù)級(jí)別。所以,加密成為了保證云服務(wù)安全性的關(guān)鍵性部分。
賽門(mén)鐵克資深信息安全顧問(wèn)林育民表示,在保護(hù)云端的數(shù)據(jù)安全方面,賽門(mén)鐵克正在研發(fā)新的用戶密鑰管理技術(shù),來(lái)保護(hù)用戶數(shù)據(jù)的安全。
趨勢(shì)科技執(zhí)行副總裁暨中國(guó)區(qū)總經(jīng)理張偉欽認(rèn)為,如果企業(yè)把數(shù)據(jù)放到云服務(wù)提供商那里,數(shù)據(jù)的加密和解密就很重要。密鑰一定要在企業(yè)自己的口袋里,別人只要沒(méi)有密鑰,就不能看到數(shù)據(jù)。需要注意的是,鑰匙一定不要放在IT部門(mén),而且資料的保存者和鑰匙的擁有者一定要分開(kāi)。
虛擬機(jī)防護(hù):傳統(tǒng)安全釋放新活力
在保護(hù)云計(jì)算環(huán)境的安全方面,一些國(guó)外的安全廠商,例如StillSecure和Alert Logic,已經(jīng)開(kāi)始提供入侵檢測(cè)、入侵防御服務(wù),保護(hù)云服務(wù)提供商那里的基于虛擬機(jī)的服務(wù)器。
為醫(yī)院和醫(yī)療保健機(jī)構(gòu)提供病歷管理的Automated Document Solutions(ADS)公司IT主管Mike Crews表示,ADS使用Host.net作為云提供商。當(dāng)幾個(gè)月前Host.net開(kāi)始與StillSecure合作提供IDS/IPS服務(wù)時(shí),ADS訂購(gòu)了服務(wù),享受這類全天候監(jiān)測(cè)的好處。
Crews說(shuō):“ADS很難自己部署這類功能,因?yàn)镾tillSecure這樣的安全專家才能做好此類事情。”Crews說(shuō)到目前為止,StillSecure提供的這項(xiàng)安全服務(wù)運(yùn)行的很好。StillSecure擁有自己的網(wǎng)絡(luò)運(yùn)營(yíng)中心,這個(gè)運(yùn)營(yíng)中心監(jiān)測(cè)運(yùn)行在Host.net那里的ADS虛擬機(jī)上的情況。服務(wù)的費(fèi)用為每10臺(tái)虛擬機(jī)每月支付250美元。ADS認(rèn)為這樣的費(fèi)用是可以承受的。
另一家云基礎(chǔ)設(shè)施提供商——iland公司CTO Justin Giardina說(shuō),iland在一年多以前便開(kāi)始通過(guò)安全公司Alert Logic在其數(shù)據(jù)中心提供IDS/IPS監(jiān)測(cè)服務(wù)。
iland的每家云客戶通常會(huì)得到基于VMware虛擬機(jī)的虛擬LAN分段、防火墻保護(hù)。另外,客戶還可以選擇讓Alert Logic從自己的網(wǎng)絡(luò)運(yùn)營(yíng)中心監(jiān)測(cè)這些虛擬機(jī)。
Alert Logic的監(jiān)測(cè)使用基于主機(jī)的軟件,該軟件運(yùn)行在管理程序級(jí)。Alert Logic IDS/IPS服務(wù)可以被配置為通過(guò)觸發(fā)Cisco ASA防火墻(例如檢測(cè)到問(wèn)題)的自動(dòng)響應(yīng)來(lái)自動(dòng)保護(hù)某個(gè)網(wǎng)段。
有不到四分之一的iland客戶使用這個(gè)Alert Logic服務(wù)。雖然Alert Logic負(fù)責(zé)對(duì)虛擬機(jī)的24X7監(jiān)測(cè),并且與客戶建立直接的關(guān)系,但是如果發(fā)生安全事件,iland也可能會(huì)牽扯進(jìn)來(lái)。
Giardina說(shuō):“不是每個(gè)人都懂得打補(bǔ)丁的重要性。”他談到了因黑客和惡意軟件造成的服務(wù)器安全受到損害,iland有時(shí)也收到Alert Logic的通知來(lái)回應(yīng)安全事件。
雖然除了Alert Logic提供的安全服務(wù)外,iland當(dāng)前沒(méi)有增加更多第三方安全服務(wù)的計(jì)劃,但Giardina說(shuō),iland正在研究建立基于賽門(mén)鐵克軟件的病毒掃描和防護(hù)服務(wù)的可能性。賽門(mén)鐵克的新軟件將利用基于VMware的VMsafe API實(shí)現(xiàn)管理程序級(jí)的監(jiān)測(cè)功能。
雖然沒(méi)有在中國(guó)進(jìn)行重點(diǎn)宣傳,但是在保護(hù)云計(jì)算安全方面,領(lǐng)先的安全廠商都有自己的計(jì)劃和產(chǎn)品。
Check Point中國(guó)區(qū)總經(jīng)理劉偉表示,VPN-1 Power VSX 是專門(mén)為基礎(chǔ)設(shè)施整合而設(shè)計(jì)的虛擬化安全網(wǎng)關(guān),對(duì)協(xié)助企業(yè)加強(qiáng)對(duì)云計(jì)算等一類虛擬化環(huán)境的安全控制有幫助。對(duì)于云服務(wù)供應(yīng)商而言,VSX可以輕而易舉地協(xié)助他們提供新的安全服務(wù),因此是發(fā)掘新收入來(lái)源的理想平臺(tái)。這些新安全服務(wù)包括增值虛擬化內(nèi)容過(guò)濾、VPN、網(wǎng)絡(luò)分區(qū)及防火墻服務(wù)。
在今年的RSA安全大會(huì)上,SonicWALL推出了兩款安全虛擬設(shè)備——全球管理系統(tǒng)虛擬設(shè)備與ViewPoint虛擬設(shè)備。SonicWALL產(chǎn)品管理副總裁PatrickSweeney說(shuō):“企業(yè)部署的虛擬設(shè)備需要能夠提供關(guān)鍵的安全性能并有助于提高工作效率,才能充分發(fā)揮設(shè)備優(yōu)化、更低成本、數(shù)據(jù)中心容量充分利用以及云計(jì)算基礎(chǔ)設(shè)施的優(yōu)勢(shì)。SonicWALL最新推出的產(chǎn)品可幫助大中型企業(yè)在虛擬化環(huán)境中開(kāi)發(fā)可擴(kuò)展的安全解決方案。”
趨勢(shì)科技在收購(gòu)Third Brigade后,經(jīng)過(guò)一年多的整合和聯(lián)合開(kāi)發(fā),推出了面向云計(jì)算架構(gòu)虛擬服務(wù)器保護(hù)的Deep Security 7.0新產(chǎn)品。據(jù)張偉欽介紹,作為一款全新的保護(hù)虛擬化服務(wù)器的安全解決方案,Deep Security 7.0將云計(jì)算環(huán)境中的全部服務(wù)器納入保護(hù)范圍,包括操作系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用程序等,不論用戶使用的是何種運(yùn)算環(huán)境、虛擬化平臺(tái)或儲(chǔ)存系統(tǒng),它都能提供優(yōu)異而完整的安全保護(hù)。
Deep Security 7.0的主要特色包括:在云端服務(wù)器中設(shè)置一套防護(hù)模式,預(yù)防信息的外泄與中斷;降低虛擬環(huán)境和云計(jì)算環(huán)境的安全管理成本;協(xié)助實(shí)現(xiàn)各種法規(guī)與標(biāo)準(zhǔn)的遵從要求,例如PCI、HIPAA等;為云計(jì)算數(shù)據(jù)中心解決各種黑客攻擊問(wèn)題,如SQL注入攻擊、跨站攻擊等。
云計(jì)算的絆腳石
云計(jì)算描繪了一幅美妙的未來(lái)圖景。然而,企業(yè)們發(fā)現(xiàn)通向美好愿景的是一條艱辛之路,數(shù)據(jù)保護(hù)和虛擬環(huán)境中的風(fēng)險(xiǎn)管理讓人望而卻步。毋庸置疑,安全問(wèn)題已經(jīng)成為了阻礙云計(jì)算發(fā)展的最大“絆腳石”。
在2010年RSA大會(huì)上,RSA總裁科維洛表示,“有些事情阻礙了云這一愿景的充分實(shí)現(xiàn)。簡(jiǎn)單地說(shuō),那就是安全。據(jù)調(diào)查,有51%的首席信息官認(rèn)為安全是云計(jì)算最大的顧慮。安全沒(méi)有跟上云計(jì)算的步伐。”
云安全聯(lián)盟所做的調(diào)查研究指出,業(yè)在選擇云服務(wù)時(shí)面臨著惡意攻擊和數(shù)據(jù)意外丟失的雙重危險(xiǎn)。最關(guān)鍵的問(wèn)題是應(yīng)用程序編程接口(API)開(kāi)發(fā)工具十分脆弱。研究人員表示,企業(yè)將眾多的其他服務(wù)捆綁到一個(gè)云計(jì)算應(yīng)用程序上,無(wú)形中使得自己暴露出了最薄弱、最易受攻擊的環(huán)節(jié),其中任意一個(gè)服務(wù)受到損害,將會(huì)導(dǎo)致所有連接的其他應(yīng)用程序遭到攻擊。
另外,根據(jù)獨(dú)立研究與產(chǎn)業(yè)分析報(bào)告顯示,虛擬化后的企業(yè)數(shù)據(jù)中心的安全狀況令人擔(dān)憂,盡管95% 的數(shù)據(jù)中心在 2009年都已采用了虛擬化技術(shù),然而生產(chǎn)環(huán)境中的虛擬機(jī)器有60%以上比物理主機(jī)更缺乏安全防護(hù)。更糟糕的是,虛擬化為云計(jì)算提供了很好的底層技術(shù)平臺(tái),這些被虛擬化的設(shè)備和存儲(chǔ)空間,大多已經(jīng)成為云中的重要成員。
由于云計(jì)算是一個(gè)開(kāi)放的環(huán)境,沒(méi)有清晰定義的網(wǎng)絡(luò)邊界,云端部署的應(yīng)用程序與操作系統(tǒng)受到攻擊的可能性就會(huì)很大,很多計(jì)算資源今后都會(huì)面臨更多的風(fēng)險(xiǎn),安全形勢(shì)會(huì)變得越來(lái)越嚴(yán)峻。所以,盡管安全廠商已經(jīng)做出了很大的努力,但還需要讓云計(jì)算的安全性變得更好。