云计算安全——云计算“美梦”中一颗定时炸弹
几年前的《红鲱鱼》(Red Herring)杂志中,曾有这样一句话,让包括笔者在内的很多人印象深刻:“未来,我们将不再上网,因为,我们注定会是24小时在线的人。”时光流逝,当年的预言正一步步变为现实,“云计算”时代的到来,使得对于个人和企业而言,“24小时的在线”不再仅仅是信息的传递与获取,更是各种关键应用的实现。就像IT评论家Keso对“云计算时代”所做的描述那样:“将来我们买一台上网设备的惟一理由就是因为它可以方便地上网,设备本身不需要安装任何软件,它要做的一切就是打开浏览器去访问互联网,让Web终端来实现一切信息处理和存储。”
一切来自网络、一切基于网络,一切运行于网络。很显然,这样的环境对于电信运营商而言,有着前所未有的意义,IDC在不久前发表的观点中明确谈到,电信运营商是最有发展潜质的云服务提供商,而云计算也将成为电信业转型的重要助推器。
由于云计算在实质上就是一种通过IT设备、系统或软件来表现的电信增值服务。因此IDC预计,在不久的将来,云计算会成为电信运营商在增值业务方面最重要的增长点,这同样也是运营商未来产业战略布局中,最核心的至高点。
虽然云计算在电信运营商的转型战略之中的前景被广泛认可。然而,IDC同时也谈到,在这朵“充满希望的云”中,还有着很多令人担忧的因素,其中,云计算安全就是最引人注目的一个,而这也是绑在运营商和众多企业云计算“美梦”中的一颗定时炸弹。
云计算还是“沼泽”计算?
在不久前举行的RSA 2010安全大会上,麻省理工学院教授、图灵奖获得者,著名的信息安全专家Ronald L. Rivest在谈到云计算安全问题时,半开玩笑地指出,“也许我们起名叫‘云计算’本身就是一个失误,因为这名字很容易让人感觉有趣和安全。但事实上,网络中充满了威胁和险恶,如果我们当初把它叫做‘沼泽计算(swamp computing)’或许更能够让人们对它有一个正确的认识。”
的确,就如同中国的成语“判若云泥”一样,如果我们处理不好云计算安全问题,这个描绘中美好的“云计算”很可能转变成真正的“泥计算”,并把我们的企业和业务拖入沼泽。
然而,保护云计算安全问题并不简单,思科首席执行官John Chambers认为,云计算将是一场网络安全的噩梦(security nightmare),并且通过传统的防护方式,并不能将人们从这场噩梦中唤醒。
云安全联盟最新的调查研究也显示,51%的企业CIO认为云计算安全是最大的顾虑。而且,这些安全问题并不是一种隐忧,它实际上已经在不断的发生。例如对于运营商而言,要保证云计算的可用性,最重要的一点就是防护DDoS攻击,而在云计算时代,要做到这一点就面临着巨大的挑战。那么安全厂商又该做些什么呢?
悄然“升级”的背后
就在不久前,思科自己的网站上发布一条关于Guard清洗中心升级解决方案的通告,通告中表示,思科的Guard清洗中心解决方案将面临一次升级,由思科的合作伙伴Arbor网络公司继续提供新的、全面综合的防DDOS攻击的解决方案。据称,“整体解决方案的关键因素包含了思科交换及路由平台的netflow 技术,Arbor Peakflow SP及清洗系统 (TMS威胁管理系统)。思科特别指出,为了今后的发展,建议客户迁移/升级到这个新的体系结构作为DDOS攻击的保护。”
我们知道,在国内,思科的Guard清洗中心解决方案已经被成功的广泛应用于大型互联网运营商、主机托管中心以及大型企业客户,有着很好的市场潜力,那么这样一款产品,为什么最终会交由合作伙伴Arbor Networks来升级推出下一代产品呢?其实,其中最关键的因素就在于,云计算时代的到来,网络应用环境的复杂性与攻击变化的多样性快速提升,使得云计算安全变为一个更需要专注和专业的“技术工种”。
根据云安全联盟的调查,在云计算服务模式下,互联网应用层面的安全性变得越发突出。从著名的信息安全博客——赛道我们了解到,在近期网络中20个最高级别安全威胁中有16是应用层威胁,许多攻击、信息泄密都是由于应用层出现了问题。在企业业务应用的部署方面,像微博、Facebook、 Sharepoint、wiki等应用的迅猛增长,都带来了大量的风险,数据丢失、法令法规、运营成本、生产力下降、业务持续性等问题。
具体到DDoS攻击上面,我们回顾其解决方案的发展过程可以发现,在2000年时互联网刚刚兴起,用户通常采用DDoS防火墙即可有效抵御攻击。而在2005年,随着Web 2.0的蓬勃发展,托管服务安全供应商(MSSP)成为了那一时代的最佳解决方案。如今进入了云计算时代,原有的方式显然已经并不适用。
正是基于这种考虑,思科决定停止对Guard模块继续研发,转而与长期合作的互联网顶级流量分析者Arbor公司进行合作,通过集成路由与安全技术实现异常流量(主要是DDoS)云清洗系统,将Clean Pipes解决方案升级到了2.0版本。在Clean Pipes 2.0中,Arbor Peakflow SP 威胁管理系统(TMS)将成为Guard的升级方案。而新的方案,最终将通过SaaS(安全既服务)的方式,实现高效率的“云清洗”。
谁是最有希望的“拆弹部队”?
那么,为什么思科选择了在国内名不见经传的Arbor Networks作为推荐给客户的“下一代选择”?在未来的云计算安全问题上,又有那些企业成为最有希望的“拆弹部队”呢?
事实上,我们仔细研究一下Arbor Networks就可以发现,其获得思科的青睐并不仅仅是因为与思科长期的合作以及投资战略加股东关系,更重要的是,Arbor具备独有的运营商级部署与ATLAS威胁可见性的经验数据积累。
Arbor Networks并不是挤进“云计算餐桌”的迟到者,实际上,它一直是这个领域潜在的领导者,在国外市场上,其用户包括全球70% 以上的运营商和大型企业。其基于运营商经验长期积累的ATLAS威胁库,使得Arbor Networks的口号“了解你的网络(Know Your Network)”不是一句空谈,也正是这种真正的掌控和了解,才能使得未来云计算应用中复杂多变的安全威胁得以剔除和解决。
窥一斑而知全豹,从思科Guard到Arbor Networks新解决方案的升级,我们可以看到未来解决云计算安全问题的端倪,那就是,云计算下安全的威胁,不能再仅仅围绕各种“安全策略”,而是需要安全企业更多地植根于具体的网络应用,并能通过技术手段实时了解和感应这些应用,才能真正化解云计算应用中多变的安全威胁。
刚刚获得奥斯卡奖的电影《拆弹部队》在片首有这样一句话“……war is a drug”,是的,网络发展所积聚的财富与价值,会让越来越多的人在攻击和破坏中“成瘾”,信息安全的战争永远不会停止,而每一家有责任心的安全企业最大的荣誉,就是行动起来,成为这个“云时代”合格的“拆弹部队”。
第三代基于"云"计算的清洗中心主要四大特点:
一:智能检测分析系统与清洗中心一体化,基于运营商级的全网监控系统统一控制流量的流向并决定清洗行动。提高了预见性与准确性。
二:云清洗系统针对应用层的攻击防护具有特别设计包括(DNS, HTTP, SIP 等),并率先支持下一代IPv6的网络环境。
三:云清洗系统具有异常流量的溯源能力并结合ATLAS威胁数据库与指纹机制实时防范最新攻击,包括零日Zero-day攻击;
四:云清洗系统针对被保护对象的自服务门户功能为运营商大范围提供异常流量清洗服务提供了基础,改善了购买DDoS服务的用户体验。
云计算是这几年新兴的技术,其必然成为万众瞩目的焦点,同时云计算安全问题也就成了大家讨论的热点问题,请读者关注这方面的信息与我们一起分享吧:http://bbs.51cto.com/
【编辑推荐】