随着云计算在各个领域的尝试与落地,基于云计算的安全服务已经从概念阶段过渡到了完善和推广阶段。在此形势下,国内三大运营商纷纷开展云安全实践。中国移动的“大云”、中国电信的DDoS攻击防御业务平台和安全快车道业务,都是云计算及云安全的有益实践,开辟了新的业务模式。中国联通同样从2009年就开始云计算的实践,对云安全的研究也在不断深入。
云安全技术让互联网更安全
现在通常讨论的云安全大多指云计算技术在安全领域的应用。云安全通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。整个互联网,变成了一个超级大的“杀毒软件”。
云安全技术是P2P技术、网格技术、云计算技术等分布式计算技术混合发展、自然演化的结果。云安全的概念提出后,曾引起了广泛的争议,许多人认为它是伪命题。但事实胜于雄辩,云安全的发展“像一阵风”,瑞星、趋势、卡巴斯基、迈克菲、赛门铁克、江民科技、金山、360安全卫士等都推出了云安全解决方案。
未来杀毒软件将无法有效地处理日益增多的恶意程序。来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马,在这样的情况下,采用的特征库判别法显然已经过时。云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。
云计算、云安全发展面临多挑战
然而,企业开展云计算面临的安全威胁非常多,主要包括以下四个方面。首先,大量迅猛涌现的Web安全漏洞,与传统的C/S系统的安全漏洞相比,多客户、虚拟化、动态、业务逻辑服务复杂、用户参与等这些云服务的特点对网络安全来说意味着巨大的挑战,甚至是灾难。其次是拒绝服务攻击DDoS。在云服务的技术环境中,企业中的关键核心数据、服务离开了企业网,迁移到了云服务中心,更多的应用和集成业务开始依靠互联网,拒绝服务带来的后果和破坏将会明显地超过传统的企业网环境。再次内部的数据泄漏和滥用。企业的重要数据和业务应用处于云服务提供商的IT系统中,如何保证云服务商自身内部的安全管理,如何避免云计算环境中多客户共存带来的潜在风险,这些都成为云计算环境下用户的最严肃的安全顾虑或挑战之一。最后,潜在的合同纠纷与法律诉讼。云服务合同、服务商的SLA和IT流程、安全策略、事件处理与分析等都可能存在不完善;另外,虚拟化带来的物理位置不确定性和国际相关法律法规的复杂性,都使得潜在的合同纠纷和法律诉讼成为利用云服务的重大挑战。
换一个角度看,对于开展云安全业务的电信运营商而言,则会面临两个非常现实的问题和挑战:一是如何与客户签订适当而合理的SLA协议;二是如何规避前向收费价格战,这不仅仅是一个商业模式(businessmodel)的问题,无论采用哪一种收费模式(payperuse或paypermonth),都存在一个前向收益的挑战——用户更倾向于价格便宜的服务。如何说服用户购买一个更好而不是更便宜的服务,是电信运营商必须仔细思考的。
运营商两方面规划云安全战略
目前,国内三大运营商已经开始云安全业务实践。比如中国电信建立了基于云计算架构的大容量DDoS攻击防御业务平台,该业务平台基于云计算架构进行构建,采用“全网统一调度、并行处理、就源清洗”的处理机制,在资源的统计复用基础上极大地提高了防御能力。
整体而言,电信运营商对于云安全业务发展的规划和设想,一方面是实现安全业务的云化,二是将云安全基础设施和云安全业务两个方面的平台进行同时统筹考虑和建设。
其中,云安全基础设施可以通过SoC运营管理平台管理和实现,其需满足两方面的要求,一是网络安全运行维护,二是对电信的客户提供云安全服务。而云安全业务平台的建设,运营商需注意利用第三方的云安全平台,如引进一些安全厂家提供的防病毒平台等等,充分融合内、外部资源,利用资源池化效应,提升整体信息安全基础能力及服务提供能力。
从技术角度,我们认为云安全服务应该实现端到端的解决方案,主要包括这几方面的安全:一是虚拟化安全,如虚拟机监控、虚拟机隔离、镜像的安全存储、虚拟机安全迁移;二是运行安全,如静态代码分析、对内外攻击防护、程序运行安全;三是接口安全,如避免政策规避、避免恶意接口调用、接口调用认证;四是数据安全,如数据加密、安全访问、内容安全、数据备份和消亡。
对于运营商云安全未来发展,我们认为要从三个视角考虑:首先是云计算提供者要考虑服务质量的保证问题;二是使用者需要考虑信息数据保护问题;三是管理者需要考虑一些监管方面的问题,比如说制定安全的制度、政策,云计算的安全标准,同时应该对服务提供商进行监控监管。
【编辑推荐】