2013年5月16日第十四屆中國(guó)信息安全大會(huì)在京召開(kāi),本屆大會(huì)的主題是“信息安全新機(jī)遇——大數(shù)據(jù),BYOD,SDN,云安全”。杭州安恒信息技術(shù)有限公司安全服務(wù)部總監(jiān)劉志樂(lè)講解了云環(huán)境的安全挑戰(zhàn)及防護(hù)。
劉志樂(lè):各位專(zhuān)家,各位領(lǐng)導(dǎo)早上好,很榮幸今天在這邊跟大家一起交流云環(huán)境的安全挑戰(zhàn)與防護(hù)。因?yàn)楝F(xiàn)在云整個(gè)談的非常熱,我今天分享只是我們公司對(duì)這一塊看法和研究,我本人目前還有一個(gè)身份,我現(xiàn)在是安全服務(wù)部總監(jiān),也在國(guó)內(nèi)外一些安全會(huì)議上發(fā)表過(guò)一些演講。
云計(jì)算這一塊本身這只是作為一個(gè)介紹,前面已經(jīng)有很多嘉賓做了詳細(xì)闡述,這個(gè)章節(jié)我也不會(huì)多說(shuō)多少,主要基于互聯(lián)網(wǎng)的相關(guān)服務(wù)的增加,去把過(guò)去的傳統(tǒng)的進(jìn)行一些虛擬化,主要的目的也是把過(guò)去各個(gè)分裂的資源數(shù)據(jù),然后我們?cè)趺礃油ㄟ^(guò)云的模式,形成一個(gè)更集中的,更好的服務(wù)。
實(shí)際上云計(jì)算目前這一塊比較主流的微軟、IBM等等,最終我們總結(jié)下來(lái),無(wú)非就是說(shuō)有三種模式,IAAS,PAAS,還有SAAS,這三種方式。云計(jì)算的數(shù)據(jù)中心主要就是說(shuō),未來(lái)比如說(shuō)華為現(xiàn)在提出來(lái)的分步式數(shù)據(jù)中心DC2,簡(jiǎn)單說(shuō)一些云,我們?cè)谠瓢踩矫婷媾R著一些什么樣的挑戰(zhàn)呢?在IAAS這里面是大量的基礎(chǔ)的設(shè)施,然后通過(guò)虛擬化。但是這里面就會(huì)有一個(gè)問(wèn)題,虛擬化的安全就會(huì)產(chǎn)生,然后引用了安全也會(huì)發(fā)生,所以說(shuō)我們?cè)谔摂M化安全機(jī)制和分布式的系統(tǒng)控制上,對(duì)我們產(chǎn)生了一個(gè)挑戰(zhàn)。
在PAAS這個(gè)模式下,應(yīng)用它安全就無(wú)數(shù)不在,開(kāi)放的接口,對(duì)接口的安全又提出了一些新的要求。所以說(shuō)納入平臺(tái)安全以后,并注重接口的安全和進(jìn)行代碼的審計(jì)是在PAAS這個(gè)階段對(duì)我們提出來(lái)的一個(gè)挑戰(zhàn)。到了最高的,目前最高的境界,SAAS這個(gè)階段,軟件及服務(wù),這個(gè)時(shí)候?qū)嶋H上是面向的應(yīng)用層,給大家提供更好的應(yīng)用環(huán)境,這樣的話應(yīng)用安全也是時(shí)刻的存在著,對(duì)于他后臺(tái)的數(shù)據(jù)安全也提出了更高的一些要求,這是我們?cè)赟AAS面臨的一些挑戰(zhàn)。
談到云計(jì)算,就談到大數(shù)據(jù),云計(jì)算的集中使得數(shù)據(jù)變得較以往更加的集中,而面臨更多的一些挑戰(zhàn)。所以說(shuō)數(shù)據(jù)安全對(duì)于我們又提出了更高的一些要求,針對(duì)關(guān)鍵的數(shù)據(jù)如何去防止泄露,怎么樣進(jìn)行一個(gè)全方位的保護(hù),這是我們?cè)诖髷?shù)據(jù)這個(gè)時(shí)代所面臨的一個(gè)挑戰(zhàn)。
針對(duì)所有的云的幾個(gè)階段,我們有看到應(yīng)用安全始終還是貫穿每一個(gè)層面,數(shù)據(jù)的集中,應(yīng)用安全的無(wú)處不在,以及虛擬化的安全的挑戰(zhàn),快速的反應(yīng)等等,這些都是我們所總結(jié)的云計(jì)算我們所發(fā)出來(lái)的安全的挑戰(zhàn)。針對(duì)這些安全的挑戰(zhàn),作為我們安恒自身在應(yīng)用安全和數(shù)據(jù)庫(kù)安全有著多年的積累,我們也很早就開(kāi)始對(duì)云計(jì)算的安全做了一些研究。我們的解決方案主要是在實(shí)現(xiàn)對(duì)云安全的一些可視,可控,可審計(jì),以及對(duì)于云計(jì)算數(shù)據(jù)中心的審計(jì)方面為核心,然后為廣大客戶提供一個(gè)專(zhuān)業(yè)的安全產(chǎn)品和服務(wù),并幫助降低客戶面臨的一些風(fēng)險(xiǎn),加速云計(jì)算的普及。
我們也設(shè)計(jì)了一個(gè)安全的體系,通過(guò)策略體系,組織體系,然后技術(shù)體系,還有一些安全的運(yùn)行體系,來(lái)實(shí)現(xiàn)體系上。在技術(shù)層面我們通過(guò)基礎(chǔ)的一些支撐層,通過(guò)一些基礎(chǔ)支撐保障與控制,然后在基礎(chǔ)的網(wǎng)絡(luò)層,通過(guò)網(wǎng)絡(luò)核心的安全的保障,然后在邊界的接入層,通過(guò)邊界的保障和控制,在應(yīng)用層通過(guò)應(yīng)用系統(tǒng)和優(yōu)化,在數(shù)據(jù)層通過(guò)邊界安全的保障與控制,來(lái)通過(guò)所有的這些技術(shù)手段,來(lái)去實(shí)現(xiàn)。
最后在運(yùn)維服務(wù)層,我們通過(guò)一些運(yùn)維的手段,這是我們整個(gè)安全策略的一個(gè)模型。對(duì)于應(yīng)用安全來(lái)講,我們主要通過(guò)事前,在事前的安全威脅發(fā)生之前,通過(guò)應(yīng)用的掃描工具,數(shù)據(jù)庫(kù)的掃描工具,包括源代碼的審計(jì),QA測(cè)試,安全工具,對(duì)你的應(yīng)用系統(tǒng)進(jìn)行全方位的安全檢測(cè)來(lái)進(jìn)行結(jié)合人工的滲透技術(shù),來(lái)發(fā)現(xiàn)你的系統(tǒng)可能存在的一些安全風(fēng)險(xiǎn),來(lái)驗(yàn)證并且分析對(duì)你的提出威脅的弱點(diǎn),然后進(jìn)行一些安全的加固,然后對(duì)比在事前能夠解決你的安全的隱患。
事中,你在已經(jīng)發(fā)生的安全事件以后,我們?cè)趺礃友杆俚奶峁┮粋€(gè)應(yīng)急響應(yīng)措施,以最快的速度來(lái)恢復(fù)你的保密性,完整性和可用性,阻止和降低對(duì)安全威脅事件帶來(lái)的嚴(yán)重的影響。
事后,我們以安全事件威脅的總結(jié),得到控制,然后去對(duì)你的策略進(jìn)行整改和完善,對(duì)你的整個(gè)系統(tǒng)進(jìn)行全方位的防護(hù)。
在傳統(tǒng)的應(yīng)用安全的話,我們是通過(guò)邊界的安全,比如說(shuō)通過(guò)防火墻,應(yīng)用防火墻來(lái)實(shí)現(xiàn)的。但是對(duì)于云環(huán)境下,這個(gè)時(shí)候?qū)ξ覀兙吞岢鰜?lái)一個(gè)挑戰(zhàn),因?yàn)榇蠹叶贾涝骗h(huán)境下,你的一些硬件設(shè)備,你沒(méi)有地方給你接入,也沒(méi)有地方給你去放,你也沒(méi)有辦法進(jìn)行保護(hù)。這種情況下本身虛擬機(jī)之間存在著一些訪問(wèn)控制的問(wèn)題,如何保障這些虛擬機(jī)的安全,實(shí)際上我們就提出來(lái)一個(gè)虛擬化的安全的理念。我們通過(guò)把傳統(tǒng)的硬件防護(hù)的產(chǎn)品實(shí)現(xiàn)它的虛擬化,然后在云環(huán)境里面和其他的虛擬的環(huán)境同時(shí)存在,但是它的作用就是像過(guò)去的物理的防護(hù)產(chǎn)品一樣,來(lái)達(dá)到對(duì)虛擬環(huán)境下的應(yīng)用,來(lái)實(shí)現(xiàn)防護(hù)。
過(guò)去我們?cè)趹?yīng)用層和操作系統(tǒng),比如說(shuō)過(guò)去有一個(gè)網(wǎng)絡(luò)層,上面會(huì)有一個(gè)網(wǎng)關(guān)。我們通過(guò)虛擬化的網(wǎng)關(guān),來(lái)實(shí)現(xiàn)整個(gè)架構(gòu)上面的一些安全問(wèn)題,這是我們畫(huà)的一個(gè)示意圖。對(duì)于云計(jì)算的數(shù)據(jù)中心,我們主要是要怎么樣使得他的風(fēng)險(xiǎn)集中,正因?yàn)轱L(fēng)險(xiǎn)集中,我們?cè)趺礃涌焖俚姆磻?yīng),這樣時(shí)候要有一個(gè)優(yōu)秀的系統(tǒng)。在云計(jì)算的CSA的安全指南當(dāng)中也說(shuō)到了這種是必須有的,所以說(shuō)我們基于這個(gè)有了一個(gè)云計(jì)算,通過(guò)這個(gè)集中安全事件管理,來(lái)掌握你的全局的安全動(dòng)態(tài),然后并實(shí)現(xiàn)敏捷的應(yīng)對(duì)。
對(duì)于數(shù)據(jù)中心的防泄露,我們通過(guò)數(shù)據(jù)庫(kù)審計(jì),數(shù)據(jù)庫(kù)弱點(diǎn)掃描,WEB弱點(diǎn)掃描,來(lái)實(shí)現(xiàn)對(duì)過(guò)去針對(duì)過(guò)去產(chǎn)品防泄露。在云環(huán)境下面怎么樣通過(guò)云的安全服務(wù)來(lái)實(shí)現(xiàn)云計(jì)算與云安全。我們提出來(lái)的是幾個(gè)方面,一個(gè)是通過(guò)云監(jiān)測(cè),云審計(jì),云防護(hù),還有安全服務(wù)。前面也有專(zhuān)家說(shuō)到了,未來(lái)可能在云的大數(shù)據(jù)時(shí)代,安全即服務(wù),所以我們也看到這一塊。
云監(jiān)控就是說(shuō),通過(guò)云這種自動(dòng)化的云的部署,然后對(duì)云里的應(yīng)用系統(tǒng)是不是有木馬,你有沒(méi)有漏洞,有沒(méi)有篡改,你的網(wǎng)頁(yè)是不是被人家掛上了一些敏感的關(guān)鍵字。所以說(shuō)我們通過(guò)這種訪問(wèn),是不是具有實(shí)效性,實(shí)時(shí)可用性。我們安恒推出了基于SAAS的安全的監(jiān)測(cè)平臺(tái),通過(guò)漏洞掃描,篡改監(jiān)測(cè),木馬監(jiān)測(cè)可用性,敏感詞來(lái)實(shí)現(xiàn)你的7×24小時(shí),對(duì)于你的應(yīng)用系統(tǒng)提供集中的統(tǒng)一的安全監(jiān)控。
云防護(hù)的話,就是說(shuō)針對(duì)云環(huán)境下面,我們通過(guò)虛擬化的技術(shù)來(lái)實(shí)現(xiàn)過(guò)去,比如說(shuō)這種對(duì)于應(yīng)用防護(hù)的防止住你的各種的,比如說(shuō)應(yīng)用層上面的注入等等這些高危的漏洞。
針對(duì)云防護(hù)和傳統(tǒng)的防護(hù)手段,我們可以在管理方式上,可以比過(guò)去有更加的靈活性,實(shí)際上主要就是通過(guò)這些方式,我們來(lái)實(shí)現(xiàn)對(duì)你幾大方面,比如說(shuō)你的帳戶管理方面,身份認(rèn)證方面,你的資源授權(quán),還有訪問(wèn)控制,操作審計(jì)等等,這是云防護(hù)。通過(guò)云審計(jì)可以對(duì)你的內(nèi)部用戶是否合法的權(quán)限濫用,然后對(duì)你的合作伙伴是不是存在著合法的權(quán)限濫用,你的數(shù)據(jù)庫(kù)軟件的自身是不是存在著一些平臺(tái)的漏洞或者說(shuō)其他方面的一些漏洞,以及你的應(yīng)用程序,跟你的數(shù)據(jù)庫(kù)之間是不是有漏洞,通過(guò)這些來(lái)實(shí)現(xiàn)一個(gè)細(xì)力度的審計(jì),這樣通過(guò)我們所說(shuō)的什么時(shí)間,什么人做了什么操作,做了多少次,他怎么樣做了一些違規(guī)的行為等等,通過(guò)這樣的話實(shí)現(xiàn)一個(gè)全方位的數(shù)據(jù)的審計(jì)。
最后談一下安全服務(wù),你有了前面所有的一些技術(shù)、產(chǎn)品的保障,最終還是需要通過(guò)一個(gè)專(zhuān)家型的安全服務(wù),通過(guò)設(shè)備和人工相結(jié)合的模式來(lái)去最終對(duì)你的云的環(huán)境下的安全,去獲得一個(gè)比較全面的保障。云環(huán)境下面的安全服務(wù),首先包括一些漏洞的檢測(cè),漏洞的一些掃描,也包括一些模擬的滲透測(cè)試攻擊來(lái)去發(fā)現(xiàn)你的整個(gè)的脆弱性。
我要講的就是這些,因?yàn)闀r(shí)間到中午了,大家可能也比較餓了,我今天講的也比較快。謝謝大家。
京公網(wǎng)安備 11010502049343號(hào)