摘 要 “云安全”是云时代下继“云计算”“云存储”之后又出现的“云”技术的重要应用,是传统IT领域安全概念在云计算时代的延伸。本文从云时代的云安全需求、现状、实现思路、现有产品的特点及未来方向五个方面阐述了云时代的信息安全建设。
关键词 云计算;云安全;信息安全;
现今技术正进入一个多网络、多终端、多屏幕的阶段。伴随着数据的海量增加、用户的个性化需求的增加、技术手段及网络条件的完善,云计算已经日益成为了诸多单位解决数据运算、存储问题的首选方案。而云计算作为下一代互联网的核心技术之一,也处于一个正在不断的自我进化和完善的过程中,越来越多的云计算相关应用正在不断的被开发出来。企业、政府、个人用户也正自觉不自觉的使用着云计算带来的便利。
1 云时代的云安全需求
在我国,从2011年的“云元年”开始,经历2012至2014年“云起八方”到“云满天下”式的布局与扩张后,在2015年将会是云计算在中国全面落地的一年。之所以这么说,是因为政府主导的云项目成为了推动云计算从概念走向应用的核心动力。工业和信息化部、国家发展改革委员会等部委也相继发布了多个支持云计算和政务云建设的政策、规划和相关意见要求。这一方面得益于政府在政策和资金层面的支持,另一方面也得益于云计算的逐渐成熟。
仅就位于内陆的河南省而言,2015年年初,“中原云”项目牵手阿里云,开始构建区域大数据中心。2015年2月,第四代云计算数据中心浪潮集团云海科技园在郑州航空港经济综合实验区开始建设。业界较为乐观的预估是:今年会由云计算将催生一个亿万级的市场注1。调研公司Gartner甚至预测,从公共云的全球收入到2016年奖达到2.066亿美元,这个数值在2011年仅9140万美元。
在任何时代技术都像是一把双刃剑,一方面在提供更高效、更便捷的解决方案时,也一同带来了信息安全甚至是道德伦理层面的问题。在云环境建设,尤其是“政务云”的建设过程中,安全是一个不可忽略也无法绕过的关键问题。云应用中的安全不仅仅在于可以提供稳定可靠的政务服务,同时更是国家信息安全的一种直接
体现。
2 云安全现状
目前,云计算下引发的云安全虽然已经引起了业界很大的重视,可实际的现状依然是比较严峻的。据赛门铁克日本调查的3236起安全事件中,43%的企业遭遇了云中数据丢失。不仅如此,根据英特尔相关人员的调查,46%的企业存在漏洞,有遭受攻击和无授权访问的风险。目前还不清楚多少经济或其他损失是由云数据造成的破坏。公司财务数据和商业秘密泄露可能是更严重的,分析师预计,即使如此,也将有越来越多的公司把数据转移到云,这是不可避免的。
造成这种现状的原因是多方面的。一方面是旧有的安全策略与云计算相互脱节的问题。比如,前文提及的“政务云”既是云计算与电子政务结合的产物,那么运行在云计算环境中的电子政务平台也继承和具有了云计算的种种特点。
但是,我国在前期的电子政务建设过程中,对于信息安全有过许多硬性的安全要求限制。比如:内外网物理隔离、电磁屏蔽、证书策略等等。但是,这种旧有的安全策略在新的云计算时代,可能会成为一种另外的限制与羁绊。
同时,软件厂商也一样会因为新技术的应用而在实际的电子政务建设中出现诸掣肘。像2014年WINDOWS 8.1系统被禁止用于政务招标事件。业界普遍认为其中最大的原因就是系统搭载的微软OneDrive同步服务,存在信息安全隐患。
另一方面,在云应用建设过程中,一些云管理平台虽然可以提供部分安全功能,如部署虚拟防火墙和配置ACL策略等。但是,系统化的安全防护体系需要由分析、审计、监测、防护等多种专业安全功能协同完成,这些往往是云管理平台所无法提供的。
在2014年的“好莱坞艳照事件”就是疑似黑客疑利用苹果公司的iCloud云盘系统的漏洞,非法盗取了众多全球当红女星的裸照,继而在网络论坛发布引发的。
3 云安全的实现思路
针对这现在的这种云应用项目需求暴增,云应用产品安全问题日渐凸现的现状,就逼迫云产品提供商与云应用使用.者再寻找更为可靠更为便捷的安全方案。在以前,云计算环境提供者更多的会从:集中化、专业化、复杂化、虚拟化、可视化及健壮性六个方面进行设计与构建。但是,实际应用过程中,由于用户或是管理员层级的疏忽也同样可能造成整个系统的安全漏洞。而在多网络环境、多终端接入的情况下,这种安全的隐患更为突出。
所以,一个完整的云计算安全解决方案,首先应该能够满足覆盖了从链路、网络、系统、内容到Web、DB等关键应用的安全需求的方案。这样就可以规避安全短板,为云计算数据中心构建了立体安全防御体系,全面防御各类混合型攻击和APT攻击。
其次,应该充分考虑用户角色、接入设备、加密方案、证书策略、身份识别等等各个方面的安全需求和便利性需求。这样不仅可以充分发挥云计算在虚拟化、专业化的特点,解决操作风险、账号欺骗、弱口令等风险,也能更好的为用户提供更贴近、更可靠的应用。
综上,云时代的信息安全,首先应该是基于云计算中心安全建设、相关厂商安全产品服务提供、以及云应用使用者安全防范三个层面上的。
4 现有云安全产品的特点
目前,针对云计算中心的安全建设,除了前面提及的去计算中心通过虚拟防火墙和配置ACL策略加强自身的安全建设外,国内外安全产品及技术服务厂商也已经提出并提供了一些相关的产品或方案。比如:较早提出“云安全”思路的趋势科技,推出了推出基于趋势科技云安全技术核心的解决方案。一方面用“云的防护盾”技术来保障“云”平台本身的高可用性,使得各种企业数据中心/应用系统或者云环境免受病毒、攻击、系统漏洞等威胁侵害;另一方面,通过“云中保险箱”技术来保护用户存放于云端的隐私和关键数据不被非法窃取和利用。
天融信提出了TopVSP三层防御体系,从网络层面,系统层面,管理层面三个层面对虚拟化环境进行安全
保护。
Fortinet也提出了建立满足云计算多层次的安全需求;运用了多种硬件加速技术,为云计算提供数据中心极高的安全性能;通过大量虚拟化技术,无缝贴合云计算网络架构,是一套为云计算环境量身定制的安全解决方案。
这些厂商虽然侧重角度不同,但是产品都是贴合云计算的特点,针对云计算中心的需求进行开发设计的。这在很大程度上弥补了云计算中心在自身安全策略构建方面的不足。
同时,我们也应该看到,用户层面的安全防护及策略部署才是整体安全体系中较为短板的一个环节。如何弥补这个短板才是整个云计算平台安全运行的保障。
目前最为有效的解决方案是,通过云计算中心和安全产品、技术服务厂商的安全策略部署,充分利用虚拟技术和安全审计,从而减少了安全风险。这些设计思路与云计算中心可以相互配合,动态的进行部署。同时,针对用户层较为模糊的需求,通过虚拟环境提供一个“沙盒”从而保证操作的安全与信息的准确。
5 云安全的未来方向
综上,云计算的安全,除了从云计算中心的安全建设、安全产品及服务提供方的建设、用户层安全三个方面来提升外。更应该通过云计算自身的虚拟化优势,完成更为复杂、更为完整的安全机制与策略。这种机制与策略应该是一种动态的、弹性的、学习型的。只有这种安全机制与策略,充分与云技术融合,成为有机整体时,云平台才会是一个安全可靠的平台。
同时,云安全也必将作为一个云计算的分支领域,形成一个巨大的市场,产生可观的经济利益。这样一来,云安全的问题,就不仅仅是作为云计算中心还是安全产品(服务)商,都必然会在这个市场中的定位与分割。行政主管机构也应该主动的进行行业标准、产业规范的制订,从而形成一个有秩序、有标准、有监管的体系。
参考文献
[1]“中原云”牵手“阿里云”.构建区域大数据中心网易新闻中心,http://news.163.com/15/0131/01/AH8HENUE00014Q4P.html.
[2]河南省最大云计算中心开建-新华网,http://news.xinhuanet.com/house/zz/2015-02-09/c_1114297151.htm.
[3]云计算:2015年催生出下一个亿万级市场,http://www.ceocio.com.cn/net/cloud/2014-12-26/147019.shtml.
[4]趋势科技云安全 - 云安全 - 云百科,http://www.zdnet.com.cn/wiki-TrendMicro_Cloud_Security.
[5]云安全系列六.天融信云计算安全建设方案 | Srxh1314,http://www.srxh1314.com/cloud-topsec.html.
[6]与时俱进 Fortinet云计算安全解决方案简介_天极网,http://soft.yesky.com/security/191/34526691all.shtml.