隨著云計算在各個領域的嘗試與落地,基于云計算的安全服務已經從概念階段過渡到了完善和推廣階段。在此形勢下,國內三大運營商紛紛開展云安全實踐。中國移動的“大云”、中國電信的DDoS攻擊防御業務平臺和安全快車道業務,都是云計算及云安全的有益實踐,開辟了新的業務模式。中國聯通同樣從2009年就開始云計算的實踐,對云安全的研究也在不斷深入。
云安全技術讓互聯網更安全
現在通常討論的云安全大多指云計算技術在安全領域的應用。云安全通過網狀的大量客戶端對網絡中軟件行為的異常監測,獲取互聯網中木馬、惡意程序的最新信息,推送到服務端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端。整個互聯網,變成了一個超級大的“殺毒軟件”。
云安全技術是P2P技術、網格技術、云計算技術等分布式計算技術混合發展、自然演化的結果。云安全的概念提出后,曾引起了廣泛的爭議,許多人認為它是偽命題。但事實勝于雄辯,云安全的發展“像一陣風”,瑞星、趨勢、卡巴斯基、邁克菲、賽門鐵克、江民科技、金山、360安全衛士等都推出了云安全解決方案。
未來殺毒軟件將無法有效地處理日益增多的惡意程序。來自互聯網的主要威脅正在由電腦病毒轉向惡意程序及木馬,在這樣的情況下,采用的特征庫判別法顯然已經過時。云安全技術應用后,識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫,而是依靠龐大的網絡服務,實時進行采集、分析以及處理。整個互聯網就是一個巨大的“殺毒軟件”,參與者越多,每個參與者就越安全,整個互聯網就會更安全。
云計算、云安全發展面臨多挑戰
然而,企業開展云計算面臨的安全威脅非常多,主要包括以下四個方面。首先,大量迅猛涌現的Web安全漏洞,與傳統的C/S系統的安全漏洞相比,多客戶、虛擬化、動態、業務邏輯服務復雜、用戶參與等這些云服務的特點對網絡安全來說意味著巨大的挑戰,甚至是災難。其次是拒絕服務攻擊DDoS。在云服務的技術環境中,企業中的關鍵核心數據、服務離開了企業網,遷移到了云服務中心,更多的應用和集成業務開始依靠互聯網,拒絕服務帶來的后果和破壞將會明顯地超過傳統的企業網環境。再次內部的數據泄漏和濫用。企業的重要數據和業務應用處于云服務提供商的IT系統中,如何保證云服務商自身內部的安全管理,如何避免云計算環境中多客戶共存帶來的潛在風險,這些都成為云計算環境下用戶的最嚴肅的安全顧慮或挑戰之一。最后,潛在的合同糾紛與法律訴訟。云服務合同、服務商的SLA和IT流程、安全策略、事件處理與分析等都可能存在不完善;另外,虛擬化帶來的物理位置不確定性和國際相關法律法規的復雜性,都使得潛在的合同糾紛和法律訴訟成為利用云服務的重大挑戰。
換一個角度看,對于開展云安全業務的電信運營商而言,則會面臨兩個非常現實的問題和挑戰:一是如何與客戶簽訂適當而合理的SLA協議;二是如何規避前向收費價格戰,這不僅僅是一個商業模式(business model)的問題,無論采用哪一種收費模式(pay per use或pay per month),都存在一個前向收益的挑戰——用戶更傾向于價格便宜的服務。如何說服用戶購買一個更好而不是更便宜的服務,是電信運營商必須仔細思考的。
運營商兩方面規劃云安全戰略
目前,國內三大運營商已經開始云安全業務實踐。比如中國電信建立了基于云計算架構的大容量DDoS攻擊防御業務平臺,該業務平臺基于云計算架構進行構建,采用“全網統一調度、并行處理、就源清洗”的處理機制,在資源的統計復用基礎上極大地提高了防御能力。
整體而言,電信運營商對于云安全業務發展的規劃和設想,一方面是實現安全業務的云化,二是將云安全基礎設施和云安全業務兩個方面的平臺進行同時統籌考慮和建設。
其中,云安全基礎設施可以通過SoC運營管理平臺管理和實現,其需滿足兩方面的要求,一是網絡安全運行維護,二是對電信的客戶提供云安全服務。而云安全業務平臺的建設,運營商需注意利用第三方的云安全平臺,如引進一些安全廠家提供的防病毒平臺等等,充分融合內、外部資源,利用資源池化效應,提升整體信息安全基礎能力及服務提供能力。
從技術角度,我們認為云安全服務應該實現端到端的解決方案,主要包括這幾方面的安全:一是虛擬化安全,如虛擬機監控、虛擬機隔離、鏡像的安全存儲、虛擬機安全遷移;二是運行安全,如靜態代碼分析、對內外攻擊防護、程序運行安全;三是接口安全,如避免政策規避、避免惡意接口調用、接口調用認證;四是數據安全,如數據加密、安全訪問、內容安全、數據備份和消亡。
對于運營商云安全未來發展,我們認為要從三個視角考慮:首先是云計算提供者要考慮服務質量的保證問題;二是使用者需要考慮信息數據保護問題;三是管理者需要考慮一些監管方面的問題,比如說制定安全的制度、政策,云計算的安全標準,同時應該對服務提供商進行監控監管。