與信息技術的不斷發展一樣,攻擊和安全技術也在不斷演進。隨著云計算和軟件定義的到來,企業獲得或者組織IT資源的方式被大大簡化,但復雜性被轉移到后端的云數據中心,這也意味著新IT的安全形勢更加錯綜復雜;與此同時,出于政治利益、經濟利益目的的攻擊也日益猖獗,這對企業造成嚴重的安全威脅。面對這樣的局面,一些企業已經設置CSO(首席安全官)來統籌治理企業的安全。毫無疑問,CSO/CIO在信息安全上無法找到一勞永逸的辦法,但有沒有相對簡單的解決方案讓企業的云計算之旅不用步步驚心?可信計算成為了問題的答案,將這一技術很好地演繹的,是我國的浪潮集團。
在浪潮集團日前的2014“Inspur World”浪潮技術與應用峰會期間,浪潮集團信息安全事業部總經理張東,浪潮信息安全事業部副總經理蔡一兵,和浪潮信息安全事業部產品經理劉剛接受了DOIT記者的采訪,分享了浪潮對云計算和軟件定義時代的信息安全技術趨勢的判斷,并介紹了浪潮針對云基礎架構安全方面的努力和已經取得的成果,以及未來的戰略方向。
在浪潮看來,云應用軟件漏洞風險、云基礎平臺風險、云服務訪問失控風險、云數據泄密風險、內部人員非法操作和APT攻擊風險等云數據中心安全風險,已成為制約新一代信息系統建設瓶頸,但我們基于可信技術的應用,能夠從計算架構的根源上解決云數據中心面臨的物理主機、虛擬主機、軟件定義的計算存儲服務的安全問題,終結以往被動防護的歷史。
浪潮集團信息安全事業部總經理張東,浪潮信息安全事業部副總經理蔡一兵,和浪潮信息安全事業部產品經理劉剛接受了DOIT記者的采訪
安全成為新一代信息系統建設的瓶頸
從數字來看,目前我國的云數據中心建設已進入實質性建設階段,各行業及各大企業的業務和數據正在逐步匯集到云數據中心。據GE估計,云數據處理中心的需求將每兩年翻一倍,到2020年,云數據中心的數量會增長40倍。
然而,安全正在成為拖后腿的因素。浪潮集團信息安全事業部總經理張東指出,云數據中心安全技術遠滯后于云計算和大數據建設發展。
從宏觀角度來看,信息安全需要自主可控作為保障,這也是我國政府近兩年力推國產化的直接原因,但整個信息技術體系的國產化并非一朝一夕可以完成的,因而微觀系統的安全可信顯得尤為重要。
就云計算而言,其核心技術是基礎架構的虛擬化,包括KVM、VMware、Hyper-V將單臺物理機分割為多臺虛擬化的方式,和分布式計算Hadoop把連接的物理主機聚合形成高可靠性的存儲的方式。不論何種方式,安全的形勢已全然不同以往,一個云主機的淪陷,都意味著全局資源處在威脅之中,換言之,傳統物理機器計算體系架構的缺陷在云主機體系中被放大了,這就是最難解決的計算體系架構自身安全性的問題。
傳統的攻擊方式涵蓋服務器固件、硬件、OS、應用等層面,而虛擬化的引入還帶來了VMM篡改、Guest OS鏡像篡改、主機租戶攻擊等新型威脅。確實有一些安全廠商已經在和VMware合作進行一些安全解決方案的更新,但我們并未看到針對云數據中心的安全領域有突破性的進展,更不用說有能夠統領全局的安全方案。浪潮認為,傳統安全防護很難防衛針對云主機的以“Guest OS鏡像篡改”、“主機租戶攻擊”和“虛擬機篡改”為目的的惡意威脅。
張東的團隊正是面對這樣的形勢,聚焦于云主機領域,致力于消除企業業務向云上遷移時所面臨的安全風險。
可信技術從計算架構層面杜絕風險
云計算承諾的好處,就是讓用戶無需理會IT背后的復雜性靈活彈性地擴展資源,安全也應該有一顆簡單的心,才不算違背云計算的初衷。張東表示,在云計算環境下給用戶提供一個安全可信的環境,整合了操作系統虛擬化,用戶只要把自己的應用部署上去就行,這就是浪潮思考的問題。這樣,用戶既能獲得云基礎設施的安全,又不用做太多的安全管理或者配置。
構建可信計算環境,相對于網絡邊界和網絡傳輸,浪潮的重心在計算安全。作為計算存儲和虛擬化的整體解決方案供應商,它在這一塊更容易形成優勢。而且可信計算更容易和底層硬件整合,和操作系統、應用整合則會影響原來的體系結構,還遇到相互之間怎么限制的問題。
據蔡一兵介紹,除了通過自主可控提供可信的安全感覺,在可信的技術層面,浪潮致力于計算機體系架構缺陷。他表示,解決計算機體系架構缺陷,最核心的技術是完整性的度量。可信計算基于哈希算法解決完整性的問題。也就是說,當病毒或木馬修改用戶的文件,可信計算通過完整性度量的方式能夠發現這種改動。即便是獲得合法授權的人想要做一些非法的事情,這種方式也可以輕松發現,傳統的應用層掃描的方式則不能。完整性度量的機制在惡意的代碼或者惡意的攻擊之前啟動,因而能夠很好地解決計算機破壞機理性的問題。
可信計算技術要形成,產業中間有很多環節,合作形成生態的合作圈一起推動是王道。浪潮現在跟武漢大學、中科信科所在國家863、973里面有技術層面的合作。在產業層面的合作,浪潮有安全主機產業聯盟,聯盟中包括了國內科技和安全廠商。此外,浪潮也和客戶進行合作,以解決不同行業客戶的安全需求的差異性。
再好的技術也需要形成產品解決方案才能讓客戶受益。基于可信技術,浪潮在大會上推出了國內首款云主機安全產品解決方案。據悉,浪潮云主機安全可信關鍵技術,融合了可信計算、操作系統加固、虛擬計算安全等技術,以可信芯片為根,構建鏈接固件、VMM、Guest OS和上層應用的軟硬一體化信任鏈,同時結合虛擬化加固、虛擬網絡控制、操作系統加固等安全手段,應對云主機威脅。
浪潮可信服務器
據悉,基于這樣的理念,浪潮已經為山東省某行業搭建了云安全防御基礎框架,在云主機安全可信、云服務受控訪問、云安全感知與服務等方面初步形成方案和應用能力。
值得一提的是,浪潮在提供高度集成的一體化整體解決方案滿足客戶高等級安全需求的同時,也單獨提供可信服務器、操作系統加固等產品,靈活地滿足用戶不同的實際需求,但整體解決方案會有一些優化設計,包括安全性、資源各方面都會加強。
1.0版本的云主機安全可信解決方案支持Xen,但下一步浪潮計劃支持KVM,并且還要和云海OS平臺深度融合。浪潮還表示,未來發展到軟件定義的架構,安全還要變化,方案也會跟著演進。
京公網安備 11010502049343號