人無信不立,云同樣如此。不久之前發(fā)生的支付寶故障和攜程官網癱瘓等事件再次將信息安全推至風口浪尖。技術從來都是把雙刃劍,在提高生產力的同時,也使得安全更為脆弱。
這一點在云計算領域表現的尤其明顯。云計算將資源集中在一起,可以想象,一旦發(fā)生安全問題,那么所有的服務將不可用。全球首屈一指的云服務提供商亞馬遜,曾經在一年半的時間內發(fā)生過5次云服務器宕機的事件,導致許多網站無法正常訪問。
而隨著越來越多的云落地,針對云服務的攻擊越來越多。在國家互聯(lián)網應急中心(CNCERT)4月底發(fā)布的《2014中國互聯(lián)網安全報告》中指出,云服務日益成為網絡攻擊的重點目標。
報告指出,2014年先后發(fā)生了多起因電力、機房線路和網絡故障導致的云服務宕機事件,針對云平臺的攻擊事件也逐年增多,僅由CNCERT協(xié)助處置的大規(guī)模攻擊事件就達十余起,涉及UCloud公司、浙江寧波某IDC機房等國內云平臺。
師夷長技以制夷。國內諸多互聯(lián)網廠商提出“云安全”的概念,借云之力保護云服務的安全。他們的計劃是,通過大量客戶端對網絡中軟件行為進行監(jiān)測,獲取互聯(lián)網中木馬、惡意程序的最新信息,推送到服務端進行自動分析和處理,再把病毒和木馬的解決方案分發(fā)到每一個客戶端。
“將整個互聯(lián)網,變成了一個超級大的殺毒軟件,這就是云安全計劃的宏偉目標。”在百度百科中給出了這樣的解釋。
傳統(tǒng)的安全廠商則是通過傳統(tǒng)安全產品虛擬化的方式,為云服務提供商和云用戶提供靈活的、可擴展的安全防護。
“坦白來說,和傳統(tǒng)IDC安全不同,云安全還處于起步階段,市面上沒有十分完善和成熟的解決方案。不過,隨著越來越多廠商加入云安全的生態(tài)圈,相信云服務的安全方案也會漸趨成熟。”來自中國聯(lián)通云計算公司的一位專家向《通信產業(yè)報》(網)記者表示。
攻擊升溫
事實上,自云計算誕生以來,云服務的安全問題就伴隨其左右,并成為其走向規(guī)模商用的最大掣肘。早在2010年5月,埃森哲與中國電子學會共同發(fā)布的一份名為《中國云計算發(fā)展的務實之路》的報告指出,“安全問題是全球對云計算最大的質疑。而這種擔憂在中國尤為突出,以至于首席信息官們如履薄冰,特別是面對公有云服務時。”
阿里巴巴集團安全部資深專家魏興國表示,當前云計算面臨著非常惡劣的網絡環(huán)境。報告顯示,在國外的主流云服務提供商中,他們的云主機很大比例都是被入侵過的云主機,而且很多用戶對入侵完全不知情。
魏興國說,事實上,阿里云遭遇攻擊的頻率也非常之高。就DDoS攻擊來說,每周就有2000次左右的攻擊,而且每次攻擊流量都很高;密碼破解類的攻擊則每周發(fā)生上億次。
就在6月18日,阿里云安全在微博上透露,當天阿里云用戶遭受多次超大流量DDoS攻擊,攻擊峰值接近300Gbps,此次被攻擊的阿里云用戶多屬于電商行業(yè)。
盡管通過流量清洗等技術手段成功化解了攻擊,但是可以看到,未來云服務遭受攻擊次數將逐步上升,可能一天之內就會發(fā)生多次攻擊。
“針對云服務的攻擊將會越來越多。而且DDoS和APT攻擊將成為主要的攻擊手段。”IDC安全領域分析師王培接受記者采訪時表示。
安全狗給出的分析報告顯示,針對云服務器的攻擊類型主要包括三種。一是針對云服務器上應用系統(tǒng)的攻擊,這類攻擊也是在所有攻擊中占比最高的;二是針對云服務器遠程登錄密碼的暴力破解攻擊;三是針對云服務器的DDoS攻擊。
2014年,全球范圍內的云服務出現了大量的DDOS攻擊事件。12月中旬,某大型互聯(lián)網服務商的云平臺上一家知名游戲公司遭受DDoS攻擊,攻擊峰值流量超過450Gbps。
與此同時,《2014中國互聯(lián)網安全報告》指出,除了DDoS攻擊之外,釣魚站點逐漸向云平臺遷移。云服務申請和使用方便、成本低廉、安全審核不嚴,且云平臺同時承載多種不同類型的業(yè)務,傳統(tǒng)基于IP地址的追蹤處置手段難以適用,日益成為釣魚網站棲息的“溫床”。
《2014中國互聯(lián)網安全報告》針對2014年處置的銀行類釣魚網站分析,按所承載的釣魚網站數據排序,排名前十的IP地址有4個屬于云服務提供商。報告認為,云平臺的逐步普及,將加大數據泄露和網絡攻擊風險,防護措施和管理機制有待完善。云計算技術的發(fā)展推動數據的集中化,在大數據時代,海量數據既是企業(yè)和用戶的核心資產,也成為網絡攻擊瞄準的目標。以竊取數據為主要目的的攻擊事件將越來越多,云平臺自身的網絡安全防護特別是對海量數據安全的防護將面臨挑戰(zhàn)。
值得一提的是,云安全事件頻發(fā)和企業(yè)云平臺缺乏安全審核和管理機制也有著很大的關系。專家指出,目前大多數云服務商的安全審核機制并不完善,用戶租用后作何用途,云服務商并不清楚知曉,也未作嚴格審核或周期性檢查,因此出現黑客在云平臺部署釣魚網站、傳播惡意代碼或發(fā)動攻擊的情況,如不及時加強管理,未來這種現象將繼續(xù)增多。
師夷長技以制夷
從云計算誕生那天起,安全廠商就開始投入到云相關安全產品的研發(fā)中去。而最早提出“云安全”概念的是趨勢科技,2008年5月,趨勢科技在美國正式推出了云安全技術。
由于安全是內生問題,將云安全作為一個單獨的事物對待,在當時曾經引起了廣泛的爭議。這個現象在百度百科上也可以查閱到:云安全的概念提出后,曾引起了廣泛的爭議,許多人認為它是偽命題。
事實勝于雄辯,云安全的發(fā)展像一陣風,瑞星、趨勢、卡巴斯基、McAfee、賽門鐵克、江民科技、金山、360安全衛(wèi)士等都推出了云安全解決方案。
這些以純軟件為主的安全廠商傾向于借助互聯(lián)網的力量和云本身的優(yōu)勢來保護云的安全。他們對于云安全的策略構想是使用者越多,每個使用者就越安全,因為如此龐大的用戶群,足以覆蓋互聯(lián)網的每個角落,只要某個網站被掛馬或某個新木馬病毒出現,就會立刻被截獲。
同時,利用“云安全”體系,殺毒軟件能夠更快地收集病毒樣本,更快地對病毒進行處理,并能在網絡威脅到達用戶電腦前就對其進行阻止,反病毒的效率大大提升,而且將更為智能化,帶來更完善的用戶體驗,最終目的可讓互聯(lián)網時代的用戶都能得到更快、更全面的安全保護。
而傳統(tǒng)的硬件安全廠商則開始推動安全產品的云化,虛擬防火墻就是安全產品云化或是虛擬化的代表產品。例如,以前防火墻和入侵監(jiān)測等安全設備都是以盒子的形式和服務器一起共同放到一個機架上,云化之后,這些產品就以虛擬機的形式存在。
“未來,安全產品將逐步軟件化,特別是隨著NFV和SDN的逐步應用,安全產品就更多以軟件形式存在。”上述中國聯(lián)通云計算公司的專家向記者表示。
云計算的發(fā)展推動了大數據的應用。反過來,借助大數據,可以在很大程度上提升云的安全性。
“要從本地網絡流量中發(fā)現未知威脅,相對于互聯(lián)網世界而言,仿佛研究森林中的一篇葉子,效率很低。因此,與其研究一片葉子,不如研究整片森林。”360副總裁譚曉生表示,“只有通過對互聯(lián)網海量多維數據的分析、挖掘和關聯(lián),才能真正解決從被監(jiān)控流量中快速發(fā)現未知威脅的難題。”
無疑,大數據將在未來云安全領域扮演著重要角色。
值得一提的是,將安全作為一種服務也逐步受到業(yè)界的青睞。目前,阿里巴巴、騰訊和百度三大互聯(lián)網巨頭都在推廣這一服務理念,例如阿里巴巴的云盾就是典型的安全即服務(Security asa Service)。與此同時,涌現出越來越多的廠商,推出安全即服務。
IDC認為,安全即服務產品的優(yōu)勢在于“價值生成時間”(Time to Value)短、對變化(簽名、文件、更新、代碼修復等等)的反應時間短、供應商的配置成本低、客戶的使用成本低。
王培告訴記者,目前中小企業(yè)傾向于采用安全即服務的模式,而大企業(yè)特別是金融、電信等行業(yè)還是傾向于自建云數據中心安全體系。
重塑生態(tài)鏈
正如云計算重塑生態(tài)鏈一樣,云安全也在重塑生態(tài)鏈。
譚曉生表示,云服務不是零和博弈,云計算的復雜性超出了一家企業(yè)的掌控能力;安全威脅是云計算產業(yè)鏈中所有人的敵人。“因此,只有合作才能共贏,贏得云安全。”他說。
于是,越來越多的廠商選擇合作,共建云安全生態(tài)體系。2013年年底,安全寶和騰訊云開展戰(zhàn)略合作,今年3月,華為和安全狗合作,安全狗產品及“安全狗加固系統(tǒng)環(huán)境”服務入駐華為云應用超市。諸如此類的合作案例還有很多。
技術之外,建立云安全標準體系也成為云安全的一條必經之路。云安全聯(lián)盟(CSA)常務董事吉姆·雷維斯認為,由于企業(yè)遷移到云中的速度變得越來越快,建立安全標準已經成為不可忽視的頭等問題。他進一步指出,尤其是虛擬化和云計算讓越來越多的數據和資產都集中到單獨的基礎設施上,帶來風險集中的問題需要被認識到。
國內云計算專家指出,目前云安全的標準化尚處于初級階段,我們要盡快開展云安全標準研究,填補國內外云安全標準空白。
京公網安備 11010502049343號