隨著云計(jì)算在各個(gè)領(lǐng)域的嘗試與落地,基于云計(jì)算的安全服務(wù)已經(jīng)從概念階段過渡到了完善和推廣階段。在此形勢下,國內(nèi)三大運(yùn)營商紛紛開展云安全實(shí)踐。中國移動(dòng)的“大云”、中國電信的DDoS攻擊防御業(yè)務(wù)平臺(tái)和安全快車道業(yè)務(wù),都是云計(jì)算及云安全的有益實(shí)踐,開辟了新的業(yè)務(wù)模式。中國聯(lián)通同樣從2009年就開始云計(jì)算的實(shí)踐,對云安全的研究也在不斷深入。
云安全技術(shù)讓互聯(lián)網(wǎng)更安全
現(xiàn)在通常討論的云安全大多指云計(jì)算技術(shù)在安全領(lǐng)域的應(yīng)用。云安全通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測,獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息,推送到服務(wù)端進(jìn)行自動(dòng)分析和處理,再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端。整個(gè)互聯(lián)網(wǎng),變成了一個(gè)超級(jí)大的“殺毒軟件”。
云安全技術(shù)是P2P技術(shù)、網(wǎng)格技術(shù)、云計(jì)算技術(shù)等分布式計(jì)算技術(shù)混合發(fā)展、自然演化的結(jié)果。云安全的概念提出后,曾引起了廣泛的爭議,許多人認(rèn)為它是偽命題。但事實(shí)勝于雄辯,云安全的發(fā)展“像一陣風(fēng)”,瑞星、趨勢、卡巴斯基、邁克菲、賽門鐵克、江民科技、金山、360安全衛(wèi)士等都推出了云安全解決方案。
未來殺毒軟件將無法有效地處理日益增多的惡意程序。來自互聯(lián)網(wǎng)的主要威脅正在由電腦病毒轉(zhuǎn)向惡意程序及木馬,在這樣的情況下,采用的特征庫判別法顯然已經(jīng)過時(shí)。云安全技術(shù)應(yīng)用后,識(shí)別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫,而是依靠龐大的網(wǎng)絡(luò)服務(wù),實(shí)時(shí)進(jìn)行采集、分析以及處理。整個(gè)互聯(lián)網(wǎng)就是一個(gè)巨大的“殺毒軟件”,參與者越多,每個(gè)參與者就越安全,整個(gè)互聯(lián)網(wǎng)就會(huì)更安全。
云計(jì)算、云安全發(fā)展面臨多挑戰(zhàn)
然而,企業(yè)開展云計(jì)算面臨的安全威脅非常多,主要包括以下四個(gè)方面。首先,大量迅猛涌現(xiàn)的Web安全漏洞,與傳統(tǒng)的C/S系統(tǒng)的安全漏洞相比,多客戶、虛擬化、動(dòng)態(tài)、業(yè)務(wù)邏輯服務(wù)復(fù)雜、用戶參與等這些云服務(wù)的特點(diǎn)對網(wǎng)絡(luò)安全來說意味著巨大的挑戰(zhàn),甚至是災(zāi)難。其次是拒絕服務(wù)攻擊DDoS。在云服務(wù)的技術(shù)環(huán)境中,企業(yè)中的關(guān)鍵核心數(shù)據(jù)、服務(wù)離開了企業(yè)網(wǎng),遷移到了云服務(wù)中心,更多的應(yīng)用和集成業(yè)務(wù)開始依靠互聯(lián)網(wǎng),拒絕服務(wù)帶來的后果和破壞將會(huì)明顯地超過傳統(tǒng)的企業(yè)網(wǎng)環(huán)境。再次內(nèi)部的數(shù)據(jù)泄漏和濫用。企業(yè)的重要數(shù)據(jù)和業(yè)務(wù)應(yīng)用處于云服務(wù)提供商的IT系統(tǒng)中,如何保證云服務(wù)商自身內(nèi)部的安全管理,如何避免云計(jì)算環(huán)境中多客戶共存帶來的潛在風(fēng)險(xiǎn),這些都成為云計(jì)算環(huán)境下用戶的最嚴(yán)肅的安全顧慮或挑戰(zhàn)之一。最后,潛在的合同糾紛與法律訴訟。云服務(wù)合同、服務(wù)商的SLA和IT流程、安全策略、事件處理與分析等都可能存在不完善;另外,虛擬化帶來的物理位置不確定性和國際相關(guān)法律法規(guī)的復(fù)雜性,都使得潛在的合同糾紛和法律訴訟成為利用云服務(wù)的重大挑戰(zhàn)。
換一個(gè)角度看,對于開展云安全業(yè)務(wù)的電信運(yùn)營商而言,則會(huì)面臨兩個(gè)非常現(xiàn)實(shí)的問題和挑戰(zhàn):一是如何與客戶簽訂適當(dāng)而合理的SLA協(xié)議;二是如何規(guī)避前向收費(fèi)價(jià)格戰(zhàn),這不僅僅是一個(gè)商業(yè)模式(business model)的問題,無論采用哪一種收費(fèi)模式(pay per use或pay per month),都存在一個(gè)前向收益的挑戰(zhàn)——用戶更傾向于價(jià)格便宜的服務(wù)。如何說服用戶購買一個(gè)更好而不是更便宜的服務(wù),是電信運(yùn)營商必須仔細(xì)思考的。
[page]
運(yùn)營商兩方面規(guī)劃云安全戰(zhàn)略
目前,國內(nèi)三大運(yùn)營商已經(jīng)開始云安全業(yè)務(wù)實(shí)踐。比如中國電信建立了基于云計(jì)算架構(gòu)的大容量DDoS攻擊防御業(yè)務(wù)平臺(tái),該業(yè)務(wù)平臺(tái)基于云計(jì)算架構(gòu)進(jìn)行構(gòu)建,采用“全網(wǎng)統(tǒng)一調(diào)度、并行處理、就源清洗”的處理機(jī)制,在資源的統(tǒng)計(jì)復(fù)用基礎(chǔ)上極大地提高了防御能力。
整體而言,電信運(yùn)營商對于云安全業(yè)務(wù)發(fā)展的規(guī)劃和設(shè)想,一方面是實(shí)現(xiàn)安全業(yè)務(wù)的云化,二是將云安全基礎(chǔ)設(shè)施和云安全業(yè)務(wù)兩個(gè)方面的平臺(tái)進(jìn)行同時(shí)統(tǒng)籌考慮和建設(shè)。
其中,云安全基礎(chǔ)設(shè)施可以通過SoC運(yùn)營管理平臺(tái)管理和實(shí)現(xiàn),其需滿足兩方面的要求,一是網(wǎng)絡(luò)安全運(yùn)行維護(hù),二是對電信的客戶提供云安全服務(wù)。而云安全業(yè)務(wù)平臺(tái)的建設(shè),運(yùn)營商需注意利用第三方的云安全平臺(tái),如引進(jìn)一些安全廠家提供的防病毒平臺(tái)等等,充分融合內(nèi)、外部資源,利用資源池化效應(yīng),提升整體信息安全基礎(chǔ)能力及服務(wù)提供能力。
從技術(shù)角度,我們認(rèn)為云安全服務(wù)應(yīng)該實(shí)現(xiàn)端到端的解決方案,主要包括這幾方面的安全:一是虛擬化安全,如虛擬機(jī)監(jiān)控、虛擬機(jī)隔離、鏡像的安全存儲(chǔ)、虛擬機(jī)安全遷移;二是運(yùn)行安全,如靜態(tài)代碼分析、對內(nèi)外攻擊防護(hù)、程序運(yùn)行安全;三是接口安全,如避免政策規(guī)避、避免惡意接口調(diào)用、接口調(diào)用認(rèn)證;四是數(shù)據(jù)安全,如數(shù)據(jù)加密、安全訪問、內(nèi)容安全、數(shù)據(jù)備份和消亡。
對于運(yùn)營商云安全未來發(fā)展,我們認(rèn)為要從三個(gè)視角考慮:首先是云計(jì)算提供者要考慮服務(wù)質(zhì)量的保證問題;二是使用者需要考慮信息數(shù)據(jù)保護(hù)問題;三是管理者需要考慮一些監(jiān)管方面的問題,比如說制定安全的制度、政策,云計(jì)算的安全標(biāo)準(zhǔn),同時(shí)應(yīng)該對服務(wù)提供商進(jìn)行監(jiān)控監(jiān)管。
京公網(wǎng)安備 11010502049343號(hào)