云計算的定義有廣義和狹義之分,很清晰。但是對于什么是云計算安全,業界卻沒有明確的說法。在了解云計算安全之前,我們先要明確一點,云安全和云計算安全是兩個概念,不能混淆。
我看到過很多安全廠商所提出的云計算解決方案,以此為基礎,我嘗試著對云計算安全給出一個個人說法。我認為,目前,狹義的云計算安全包含三個核心技術方向,分別是訪問控制、數據加密和對虛擬機的安全防護手段。而廣義的云計算安全則包括云服務提供商所采取的各種網絡安全措施,例如防DDoS攻擊技術。
訪問控制:確認用戶身份
已經有云計算服務提供商利用訪問控制來增強云計算的安全性。
PivotLink公司提供基于云的、按使用付費的商業智能服務。它與Novell合作并對后者的云安全服務進行了beta測試。
PivotLink負責開發的高級副總裁Bob Kemper說:“我們從插入在客戶的服務中的Novell服務獲得認證功能。目前我們使用身份管理和他們的認證服務來管理安全水平。Novell與所需的企業系統進行集成來提供對信息的訪問。”
PivotLink的許多客戶是各公司的零售經理。在使用Novell的云安全服務時,這些客戶不必使用運行在企業內部的Novell軟件,只要使用任意LDAP或Active Directory基礎設施就行。
這種基于云的服務使用基于SAML的認證。與Novell合作進行beta測試的協議允許客戶可以自動刪除離職的商店經理的賬戶并給新上任的經理自動添加授權使其能夠使用PivotLink的服務。
Kemper說:“我們的客戶表示需要某種形式的管控和審計。則使得他們對把敏感數據上載到云中感到更放心。
Novell云安全業務部總經理Dipto Chakravarty說,Novell與許多軟件服務化、托管提供商進行接觸,了解他們對與Novell在基于云的安全服務方面開展合作的興趣。
有一種設想是,Novell必須起到技術協議“中立國”的作用,支持SAML1.1、SAML2、WS-Fed、InfoCard和OpenID以及企業端的Shibboleth。Chakravarty表示,Novell云安全服務是真正的多客戶托管安全解決方案,它可以由SaaS的托管服務商托管,或由Novell的合作伙伴托管。
EMC信息安全事業部RSA首席技術官Bret Hartma表示,專業的安全廠商可以滿足云計算服務提供商三個方面的安全需求:
第一方面,保護云服務提供商免受外來攻擊。
第二方面,滿足云計算環境中不同租戶之間的數據獨立性。在一個云環境中通常會有兩個以上的租戶,他們之間的數據不能互相干擾。而且在未經授權的情況下,一個用戶不能訪問另外一個用戶的數據。
第三方面,確保云服務提供商自身平臺安全,比如訪問控制、身份認證等基礎性的要求。只有滿足這三方面的需求,企業才能非常放心地將他們的應用轉移到云平臺上。
加密:保證數據自身安全
企業通常在網絡的邊界部署安全設備,用來拒絕外部非授權用戶的訪問。然而在虛擬化環境中,虛擬IT服務不存在物理邊界。于是,企業必須假設所有傳輸的數據都有潛在的被攔截風險。
沒有了物理控制,就必須依靠其他加固原理來限制對信息的訪問。信息的加密是其中最重要的方法,它可以限制對有用信息的訪問,這種限制甚至超過了對物理系統的保護級別。所以,加密成為了保證云服務安全性的關鍵性部分。
賽門鐵克資深信息安全顧問林育民表示,在保護云端的數據安全方面,賽門鐵克正在研發新的用戶密鑰管理技術,來保護用戶數據的安全。
趨勢科技執行副總裁暨中國區總經理張偉欽認為,如果企業把數據放到云服務提供商那里,數據的加密和解密就很重要。密鑰一定要在企業自己的口袋里,別人只要沒有密鑰,就不能看到數據。需要注意的是,鑰匙一定不要放在IT部門,而且資料的保存者和鑰匙的擁有者一定要分開。
虛擬機防護:傳統安全釋放新活力
在保護云計算環境的安全方面,一些國外的安全廠商,例如StillSecure和Alert Logic,已經開始提供入侵檢測、入侵防御服務,保護云服務提供商那里的基于虛擬機的服務器。
為醫院和醫療保健機構提供病歷管理的Automated Document Solutions(ADS)公司IT主管Mike Crews表示,ADS使用Host.net作為云提供商。當幾個月前Host.net開始與StillSecure合作提供IDS/IPS服務時,ADS訂購了服務,享受這類全天候監測的好處。
Crews說:“ADS很難自己部署這類功能,因為StillSecure這樣的安全專家才能做好此類事情。”Crews說到目前為止,StillSecure提供的這項安全服務運行的很好。StillSecure擁有自己的網絡運營中心,這個運營中心監測運行在Host.net那里的ADS虛擬機上的情況。服務的費用為每10臺虛擬機每月支付250美元。ADS認為這樣的費用是可以承受的。
另一家云基礎設施提供商——iland公司CTO Justin Giardina說,iland在一年多以前便開始通過安全公司Alert Logic在其數據中心提供IDS/IPS監測服務。
iland的每家云客戶通常會得到基于VMware虛擬機的虛擬LAN分段、防火墻保護。另外,客戶還可以選擇讓Alert Logic從自己的網絡運營中心監測這些虛擬機。
Alert Logic的監測使用基于主機的軟件,該軟件運行在管理程序級。Alert Logic IDS/IPS服務可以被配置為通過觸發Cisco ASA防火墻(例如檢測到問題)的自動響應來自動保護某個網段。
有不到四分之一的iland客戶使用這個Alert Logic服務。雖然Alert Logic負責對虛擬機的24X7監測,并且與客戶建立直接的關系,但是如果發生安全事件,iland也可能會牽扯進來。
Giardina說:“不是每個人都懂得打補丁的重要性。”他談到了因黑客和惡意軟件造成的服務器安全受到損害,iland有時也收到Alert Logic的通知來回應安全事件。
雖然除了Alert Logic提供的安全服務外,iland當前沒有增加更多第三方安全服務的計劃,但Giardina說,iland正在研究建立基于賽門鐵克軟件的病毒掃描和防護服務的可能性。賽門鐵克的新軟件將利用基于VMware的VMsafe API實現管理程序級的監測功能。
雖然沒有在中國進行重點宣傳,但是在保護云計算安全方面,領先的安全廠商都有自己的計劃和產品。
Check Point中國區總經理劉偉表示,VPN-1 Power VSX 是專門為基礎設施整合而設計的虛擬化安全網關, 對協助企業加強對云計算等一類虛擬化環境的安全控制有幫助。對于云服務供應商而言,VSX可以輕而易舉地協助他們提供新的安全服務,因此是發掘新收入來源的理想平臺。這些新安全服務包括增值虛擬化內容過濾、VPN、網絡分區及防火墻服務。
在今年的RSA安全大會上,SonicWALL推出了兩款安全虛擬設備——全球管理系統虛擬設備與ViewPoint虛擬設備。SonicWALL產品管理副總裁PatrickSweeney說:“企業部署的虛擬設備需要能夠提供關鍵的安全性能并有助于提高工作效率,才能充分發揮設備優化、更低成本、數據中心容量充分利用以及云計算基礎設施的優勢。SonicWALL最新推出的產品可幫助大中型企業在虛擬化環境中開發可擴展的安全解決方案。”
趨勢科技在收購Third Brigade后,經過一年多的整合和聯合開發,推出了面向云計算架構虛擬服務器保護的Deep Security 7.0新產品。據張偉欽介紹,作為一款全新的保護虛擬化服務器的安全解決方案,Deep Security 7.0將云計算環境中的全部服務器納入保護范圍,包括操作系統、網絡、應用程序等,不論用戶使用的是何種運算環境、虛擬化平臺或儲存系統,它都能提供優異而完整的安全保護。
Deep Security 7.0的主要特色包括:在云端服務器中設置一套防護模式,預防信息的外泄與中斷;降低虛擬環境和云計算環境的安全管理成本;協助實現各種法規與標準的遵從要求,例如PCI、HIPAA 等;為云計算數據中心解決各種黑客攻擊問題,如SQL注入攻擊、跨站攻擊等。
京公網安備 11010502049343號