云計算在未來將成為影響整個IT行業的關鍵性技術,而云安全則是云計算能否成功應用的關鍵。如果說云計算是IT產業的春天,那云安全就是安全產業的春天。近年來,國內安全產業在產業規模上始終沒有大的突破,而借助云計算的東風是否能改變這一現狀?
矛盾:行業云應用前的產業躊躇
在云計算面前,信息安全產業似乎正陷入一個矛盾的境地:一方面,企業因為安全問題而對云計算應用敬而遠之;另一方面,由于缺少用戶,云安全產業暫時無法迎來行業迸發的契機。
云時代:從云安全到安全云客戶推薦云計算解決方案時,他們總是對安全抱有遲疑,特別是在關鍵數據和隱私方面,希望實現‘云’可管可控,”一位云計算上市公司高層告訴記者,“如果安全的問題沒有解決,那么‘云’將無法在現實中落地。”
無獨有偶,上述觀點在賽門鐵克公布的《2011云端現狀調查》(2011 State of Cloud Survey)中得到了印證,該調查重點關注企業如何部署云計算以及如何處理云計算給IT管理帶來的變化等。調查顯示,企業對于云安全問題持矛盾態度——大多數企業將安全性同時列為邁入云端的最大擔憂和首要目標。
“保障數據安全,是實現云計算環境的根本”,賽門鐵克企業產品和服務集團總裁Francis deSouza表示,“如果安全性無法滿足,那么邁入云端就沒有任何意義”。盡管有一系列的相關計劃,許多公司仍表示他們尚未做好部署云計算的準備。只有少數受訪者(15%~18%)認為其已經完全做好過渡到云計算環境的準備,而大約一半受訪者聲稱其IT部門尚未做好準備。
造成上述局面的部分原因在于經驗的缺乏,因為僅有25%的IT團隊擁有部署云計算的經驗。因此,大多數企業在尋求外部資源的幫助。事實上,在部署混合基礎架構或PaaS時,有大約3/4的受訪者說他們會求助于增值經銷商(VAR)、獨立顧問、專業服務機構或系統集成商。顯然,行業用戶們,在云計算的風險與效益之間在進行著權衡。對此,IDC安全產品服務部門的研究總監Charles Kolodgy表示,云計算最大的風險之一源于其性質:它允許數據被傳送和保存在幾乎任何地方——甚至分開保存在世界不同位置。盡管數據散布幫助使云計算具有成本和性能優勢,但不利之處是企業信息可能保存在隱私法松弛的存儲系統中。
安全廠商必須打消企業的這種顧慮。面對此種情況,在此前舉行的“第三屆中國云計算大會”上,多位與會政企人士和行業專家曾強調,解決云安全問題是促進云計算應用的關鍵,安全產業在技術上必須先行一步。
當然,信息安全行業也看到了一些領域的曙光。例如,在金融和互聯網等領域,云安全的市場需求已經出現。紐約投資銀行金融服務機構Cowen公司CIO Daniel Flax依靠云計算實現公司銷售活動自動化。盡管他對云計算降低前期費用、減少停機時間和支持額外的服務的潛力感到滿意,但他承認他必須努力了解這項新興技術的安全弱點。他說,“安全是我們必須直接面對的挑戰之一。”
據悉,Flax使用Salesforce.com公司的Force.com平臺實現Cowen全球銷售系統自動化。他說確保數據避免存在風險的目的地的最佳辦法是與一家是上市公司的云廠商合作,由于是上市公司,因此法律要求該廠商披露它是如何管理信息的。這也就意味著,云產業鏈間各環節結合必須上升到一個新的高度。
[page]
先行:安全產業的云夢想
就在云計算概念的如火如荼之際,這項技術也如同一針催化劑給信息安全產業帶來了新的發展契機。來自IDC市場調研機構數據顯示,云計算服務將在2013年達到整體IT消費的10%,年收益高達442億美元,5年內年平均增長是26%,這是傳統IT行業增長速度的6倍。而Frost & Sullivan市場研究機構,在2011年年末,對亞太區6個市場,300個大型企業,500人以上的大型企業的IT決策人做了一項云計算的調查。
調查數據顯示,55.3%的人擔憂云安全問題,尤其是數據安全性。毫無疑問,云計算的蓬勃發展,已經讓云安全已經上升到產業的高度。
實際上,當IBM、微軟、VMware這些行業龍頭在中國布局云計算解決方案時,已經將云安全產品作為重要考量。其中VMware和趨勢科技之間的合作尤為突出。除此之外,記者了解到包括星網銳捷、衛士通、華東電腦、中國軟件在內的多家公司也都推出了主打云安全的產品。
衛士通市場總監陳瀾告訴記者,衛士通此前已分別與萬國數據等IT服務商以及國內大型電信運營商展開戰略合作,涉足面向中小企業和個人的云安全領域,但商業模式是目前仍在探討的主要問題。考慮到中小企業這部分市場空間巨大,衛士通邊做邊探索,未來不排除獨自涉足這一領域。
另據星網銳捷產品經理王圣魁介紹,為解決針對企業級客戶的云計算數據中心的信息安全問題,星網銳捷特別推出了的下一代防火墻系列產品,這在業界目前處于領先地位,已在阿里巴巴等公司應用。而中國軟件的“中軟紅云安全系列產品”則是中軟“紅云計劃”的核心之一,包括云安全存儲于應用系統、云端安全統一管理系統、云漏洞掃描與安全配置系統以及虛擬化云安全網關四款產品,已在上海浦東軟件園、蕪湖市云計算城市公共服務平臺等得到應用。
從產業結構上來看,云計算也改寫了信息安全領域的產業鏈條,包括了云安全環境,云安全設計,云安全部署,云安全交付,云安全管理,再到云安全咨詢,整個云安全產業鏈條已經形成完整閉環。IDC 報告指出,云安全性包含至少三個層次,一是制約用戶接受云計算的信用環境問題,這是云計算得以廣泛應用的基礎,也是推廣門檻,然后才是云計算的應用安全。最后是,利用云計算擴展安全服務。
對此,Fortinet中國區技術總監李宏凱表示,“云安全”是由保護實體和服務網絡兩部分組成。相對應的,在保護實體部分要有完善的多樣化威脅的檢測能力,如郵件安全,網頁安全,數據安全,系統安全等比較清楚的分類保護選擇,這樣能讓用戶對保護實體的安全防御方向和內容有比較清晰的認識。另外,在保護實體和云網絡的服務通信方面應該具有一定的可視性,比如郵件安全、系統安全、網頁安全等安全套件的云網絡連接狀態等。
事實上,安全云網絡的健壯性和自我安全性是廠家服務網絡的一部分,這是一個基礎組成部分,是一個前提。需要強調的是,當用戶認識到使用的保護實體在不同威脅上的一致化防御效果,那么自然就容易接受觸摸不到的那部分云端服務群組。
[page]
趨勢:云安全下的安全云
云計算在給安全帶來挑戰的同時,也給予安全一個新的發展命題——安全云。
未來殺毒軟件將無法處理日益增加的惡意代碼,來自互聯網的威脅已經從病毒轉向了木馬和惡意代碼,這意味著殺毒軟件僅建立本地病毒庫樣本是完全不夠的,這需要通過網絡服務,實時進行采集、分析以及處理。整個互聯網就是一個巨大的“殺毒軟件”,參與者越多,每個參與者就越安全,整個互聯網也就會越安全。因此,對于安全廠商而言,云計算的引入可以極大地提升其對病毒樣本的收集能力,減少威脅的相應時間。
目前,我們看到包括趨勢科技在內的一些安全云產品已經可以實現“網關——終端”這部分的病毒防御。通常,守住網關就意味著守住來自互聯網70%到80%的威脅,但同時仍然有20%的威脅是通過其他途徑進入企業網絡,其中就包括終端。因此,解決終端網絡環境的安全問題變得極為重要。趨勢科技的安全云實現終端安全防御的機制就是,其文件信譽技術依托龐大的云端威脅數據庫,用戶在訪問文件前查詢該文件的信譽,阻止惡意文件的下載訪問。
據悉,目前趨勢科技擁有超過34000臺服務器組成的云端,可以在毫秒間完成查詢,幫助企業實現0時差病毒碼更新,0時間病毒碼部署,0增長資源占用的三“0”防護。因為云端和客戶端隨時通過互聯網交互信息,所有計算放到云端上進行,這大大節約了成本和時間,有效的控制了病毒傳播。
趨勢科技方面表示,要想建立“安全云”系統,并使之正常運行,需要解決四大問題:第一,需要海量的客戶端(云安全探針);第二,需要專業的反病毒技術和經驗;第三,需要大量的資金和技術投入;第四,可以是開放的系統,允許合作伙伴的加入(不涉及用戶隱私的情況下或征得用戶同意)。這意味著殺毒軟件行業將加快整合,并出現強者恒強的局面。
當然,相對趨勢這種老牌安全企業,就安全云這一新興領域也衍生出無數商機。這也將成為國內自主品牌展現實力和創新能力的機會和舞臺。上海林果實業公司是一家以動態令牌起家的IT公司,其術研發負責人陳孟英博士表示,林果正在規劃未來為企業用戶及消費者提供基于身份認證的“小”云服務平臺。
陳孟英認為,云就象一個無盤工作站,“我們應該做什么樣的云呢?從身份認證角度來看,我們可以建一個身份認證的云。大家手頭上都有各種各樣的卡,都有密碼。郵箱也有密碼。一個人擁有無數的密碼,極其考慮人的記憶力。一張令牌可以管理多家銀行登錄密碼管理。從云端為個人用戶提供簡單易用易于管理的第三方認證服務。其實,身份管理被認為是信息安全技術中的核心組成部分。首先建立信譽,從游戲、郵箱、博客、微博、即時聊天工具等需要認證,這些對安全度要求不太高的領域做起”。
未來,陳孟英希望身份認證這塊小“云”,能將各家銀行的認證體系集中在一起。不過現在最大的問題是,網絡上的身份管理難題叢生,不同云服務提供商有不同的管理機制,帳號、權限等身份很難統一,因此制定安全策略的難度可想而知。此外,在法律層面,從事這一領域內容公司資質的認定也還屬空白。