2015年,網易大面積服務器癱瘓,支付寶光纜事故,攜程網出現業務故障,藝龍網遭受DDoS攻擊等事件使網絡安全受到前所未有的關注。
云計算的落地和移動設備的普及向信息安全提出了新的挑戰,產生了在新的IT環境下的新問題,例如公用云數據安全、專用云防御等。360云事業部產品總監張曉兵表示,隨著公有云的發展,安全防護的重要性更加明顯,一旦云平臺遭受攻擊,將影響更多企業。
根據防火墻操作管理軟件公司AlgoSec的調查數據顯示,受訪者中,約有66%的企業稱其目前正在部署或計劃未來1-3年內在云平臺上部署業務應用程序。但是,這些企業對云安全的了解卻存在很多不足,其中超過30%的企業計劃未來部署云業務應用,但卻不清楚該如何管理其云環境的網絡安全策略。
正視云安全差異
記者了解到,許多傳統用戶對于云安全存在一些錯誤的認知。例如,希望依靠傳統安全工具或靠物理隔離的方法來進行隔離防護,希望能從及時得到漏洞通知信息來服務,認為進行運維外包就能夠確保工程系統的安全,或指望云提供商具有集中的管理系統等。
中國聯通云計算公司專家表示,對于云環境,傳統的安全問題依然存在,同時虛擬化管理系統、云平臺管理系統等云平臺相關系統的出現,更加導致在這些平臺上的安全手段目前還處在非常初級階段。
IDC分析師王培在接受《通信產業報》(網)記者采訪時表示,目前看來,中小企業或者非關鍵性業務傾向采用安全即服務的模式,而大企業,特別是金融、電信等行業的客戶,他們更傾向于自建安全防護體系來保護云業。
技術繼承與創新
云安全可以更智能務的安全。
對于不同模式的云服務平臺,面臨的安全問題有所不同。對于SaaS模式,數據安全、應用安全與身份認證是主要問題;對于PaaS模式,數據與計算的可用性、數據安全與災難恢復等需求更加突出。IaaS模式是云安全面臨威脅最嚴峻的,其平臺建設過程涉及到的數據中心建設、物理安全、網絡安全、傳輸安全與業務系統安全等多方面的防護需求使得IaaS云安全防護需要引入多個層面的防護手段,并需要更加嚴謹的框架與標準的保障。
事實上,云安全的標準和框架已經逐漸形成,北京中油瑞飛信息技術有限公司信息安全專家黃晟在“云計算安全論壇”發言中介紹,CSA和NIST都已經提出了較為完備的云安全框架,但是如何在實際的云計算環境中全面落實,一直是信息安全從業人員面對的挑戰。
繼承傳統防護手段
云計算平臺本質上來說就是一個復雜的信息系統,特別是虛擬化管理與云管理系統采用通用軟件和現有技術開發,最終也部署在傳統硬件平臺之上,依然受到傳統軟硬件技術生態圈的影響。
因此,黃晟表示,傳統攻擊手段依然具有威脅性,還是需要依靠傳統防護手段作為私有云安全防護的基礎。
雖然在云計算環境中,傳統的防火墻不再出現,但是其防護功能仍需實現,在云服務中必須要打造傳統用戶所需要的安全性功能。
例如針對網站最常見的入侵行為,從部署最基本的防DDoS攻擊、端口安全檢測、Web漏洞檢測、木馬檢測等主要功能,到利用漏洞管理、質量保證、軟件的安全性審查、審計和外部審計等工具進行安全威脅檢查,以及建立安全事件管理等平臺輔助制定安全策略。其中的技術手段與傳統安全防護沒有本質上的區別。
針對云架構升級
在滿足傳統防護需求的基礎上,針對虛擬化和云架構帶來的特殊問題,防護技術需要進一步擴展和升級。阿里云安全部安全專家沈錫鏞表示,具備低成本、高精度、大規模的安全防御架構,具備完善的數據安全保護能力的云平臺才能滿足用戶的需求。
除了在云平臺建設的過程中實施基礎安全防護措施,綜合采用現有成熟的安全防護手段,還要面向主流的云技術體系,有效應對面向云計算平臺底層的主要云安全威脅,才能為云平臺的用戶系統實現不低于傳統物理機模式的安全保障。
那么,云計算服務安全的關鍵點在哪些方面?來自西交利物浦大學的信息安全專家接受采訪時介紹,從主要云技術體系的層級來看,云服務存在五大安全關鍵點。在數據中心層面,關鍵在于備份與容災,以及網絡層面的防黑客入侵;在虛擬化平臺層面,關鍵在于云平臺的內部安全監控、管理行為審計、阻止虛擬機用戶“外泄”與上浮;在IaaS層面,虛擬機間的“溢出”監控與阻斷是主要問題;在PaaS層面,要關注虛擬機間的安全監控與用戶行為審計,以及病毒過濾;在用戶流量控制方面,則要重視雙向的身份鑒別、傳輸加密等問題。
分層實施防護措施
面對如此龐大的安全體系和需求,必須在設計和建設時注重調整云網絡拓撲與部署架構,依托網絡縱深,設計多道防線,構建一個由多個核心組件組成的多層次安全策略來支持海量云服務和產品。
專家指出,可以從邊界防護、基礎防護、增強防護以及云化防護四個方面,分階段提升云平臺的安全防護能力。
邊界防護是私有云安全防護的底線,與基礎防護能力一起都應和私有云建設過程中同步開展,需要建立多層防御,以幫助保護網絡邊界面臨的外部攻擊。以阿里云為例,首先,嚴格控制網絡流量和邊界,使用行業標準的防火墻和ACL技術對網絡進行強制隔離,輔以網絡防火墻和ACL策略的管理,包括變更管理、同行業審計和自動測試等。其次,使用個人授權限制設備對網絡的訪問,通過自定義的前端服務器定向所有外部流量的路由,幫助檢測和禁止惡意的請求,并建立內部流量匯聚點,幫助更好的監控。多個組件構成其完整的網絡安全策略。
隨著面向虛擬化和云計算的安全技術逐漸成熟,增強完善云安全服務,并面向SaaS等更復雜的云計算模式,引入云安全訪問代理等新技術,結合業務實現防護。對此,黃晟給出了多方面具體建議,例如注重操作系統加固技術在云底層平臺的應用,特別是通過安全手段固化底層行為;構建“安全數據平面”,收集多樣化的安全信息數據,結合大數據流式分析技術,對云平臺進行全面地持續監控;或可基于SDN技術構建“流網絡平臺”,提升“東西向”的隔離顆粒度與強度, 以及加強云內流量監控;面向業務操作與業務數據建立云安全代理機制等。
縱深安全運維
在虛擬化環境中,越來越多的開源軟件或開源組件得到應用,云技術體系的生態安全也應納入考慮之中。企業不僅需要考慮如何使用云服務,還必須考慮并落實云建設和運維牽涉到的所有細節。特別是考慮到開源軟件漏洞生命周期特點,需要有針對性地實現安全運維覆蓋。
在運維過程中,云監控與云審計是有效手段。通過建立專門的管理團隊,制定預警應急、分析評估、安全審計、測試認證、使用監控等手段,結合使用情況及安全情報信息,及早發布預警,整體評估架構的安全性和可控性,跟蹤了解云平臺的安全動態,進一步保障防護的及時性和全面性。
京公網安備 11010502049343號