云安全云計算 迷團大揭幕
如果說2009年信息安全產業的熱點,毫無疑問“云安全”技術當之無愧。據記者觀察,無論是新技術還是新應用,業內眾多主流安全廠商都在向“云”靠攏。有意思的是,隨著云安全應用的重要性日益凸現,針對云端服務器群組的保護技術也推陳出新。
可以說,當前的這朵“云”越來越有味道了。
理解云安全技術
在大家理解“云安全”技術之前,記者首先要強調一點,就是云安全并非絕對的新技術。事實上,伴隨著云計算技術的發展,云安全是逐漸發展至今并得以實用化的。追溯到2007年底開始,全球范圍內的惡意軟件、攻擊行為日益復雜并且變得難以防御,在“海量威脅”的壓力下,傳統的基于“簽名”的安全防預技術受到了挑戰,而這恰恰給了“云安全”技術發展的空間。
此前Fortinet中國區技術總監李宏凱在接受本報獨家專訪時指出:“云安全最重要的技術特點在于其分部式運算的強大能力和客戶端的安全配置精簡化,也就是用戶們經常談到的瘦客戶端發展趨勢。 這點對于企業用戶而言確實具有明顯的安全性提升和降低客戶端維護量的優勢。本身云安全技術也提供了對未知威脅的評估和防御推送能力,因此在安全防御級別上無疑是有明顯的進步。”
他同時表示,目前云安全重要的推動力主要是威脅的多樣化發展和動態性,現在的用戶越來越多的感覺到單一的防御技術很難做到有效的防御效果。應用的多樣化使得當前的攻擊具備了多種途徑的感染,傳播和觸發的方式。比如說部分郵件承載的惡意代碼可以通過垃圾郵件方式進行部分檢測,如郵件信譽列表技術等。這個層次沒有阻攔成功,那么就要分析郵件內容的威脅,要用病毒解碼分析技術。當個體主機被感染后,系統進程會和網上服務器自動互連進行木馬程序下載和傳播,這時候系統命令層的檢測就要發揮作用。因此可以看到,多樣化威脅的防御需要動態的多層次的檢測能力。而云安全的高級特征分析能力為用戶提供了多層次的威脅防御分析,也在很大程度上提高的實際安全效能。
基于此,記者希望廣大企業用戶一定要理解一個觀點:“云安全”技術是未來內容安全防護技術發展的必由之路。因為從目前的技術發展來看,這已經是一個無法回避的趨勢。
對此,趨勢科技資深安全顧問徐學龍表示,由于用戶規模和網絡應用的快速增長,Internet上的網絡威脅數量也呈爆炸性增長。據AV-test.org統計,目前每天產生的新惡意程序在三萬支左右,通過制作病毒代碼來防護網絡威脅的傳統技術已不能提供有效防護,“云安全”采用云計算的處理機制,能夠將Internet上的網絡威脅位置計算出來,在網絡威脅到達網絡前進行阻止,一方面實現了廣譜防護,另一方面實現高效、及時的防護。
需要注意的是,云安全內在的機制是“云計算”技術,由于Internet接入帶寬價格的不斷下降和通信質量的不斷提升,云安全目前的活力開始被激活,并且在2009年衍生為市場最新的熱點。
持同樣看法的,還有Wedge Networks的全球CEO張鴻文博士。他說:“云安全目前很熱,而且這個技術本身聯合了兩個領域:云計算和基于網絡的威脅防御。”不過有意思的是,他對于目前“云安全”概念的精準性提出了質疑,“安全的各個角落都在提云安全,這有點像當年軟件領域的‘人人皆SaaS’。嚴格來看,‘云安全’必須要為企業的數據中心、服務器群組、以及端點提供強制的安全防御支持。”
不過他也無可奈何地表示,不管真正的定義如何,目前安全界已經在遭遇來自“云”的一刀切:支持云安全或者不!從狹義上看,只有支持云安全技術的安全產品,才能在端點安全、企業IT基礎設施防御、以及服務器和桌面防御上確保實時、可靠的安全簽名升級與技術支持服務。
細心的讀者可以發現,云安全從技術原理上解釋,有時候就像天空中的云朵一樣,看得見摸不著。不過作為“云安全”技術的實際使用者,鄭州輕工業學院的技術負責人程源老師表示,“云安全”是一個老概念,以前企業都是用分布式架構來做安全體系,只不過現在叫“云”了,但歸根結底這種技術的主要目的還是要完善各個結點、各個位置的安全防護措施。換句話說,如果以前是單兵作戰的話,“云安全”之后就是集團作戰。
云安全的技術標準
目前業內對“云安全”的技術爭論,很大一部分集中在標準的制定上。此前徐學龍向記者表示,“云安全”技術實現的是龐大云端和瘦客戶端的結合,所以如何構建有效的智能威脅收集系統、計算云系統、服務云分發系統就變得非常重要。用戶在選擇的時候一方面要選擇在這方面有較深積累的廠商,另一方面要
看正在應用的客戶群規模,因為一種新技術的成熟離不開長期的開發和大量的客戶基礎。
事實上,云安全技術由于推出的時間不長,所以技術尚在完善過程中,而且由于網絡威脅是動態變化的,所以安全技術永遠都處于不斷研發、不斷前進的過程中。在目前來看,如何有效快速分析和快速遞交,仍是大多數廠商需要解決的問題。
“從趨勢科技‘云安全’技術的推廣來看,用戶對云端響應的支持模式還是非常容易接受的,而且由于采用本地服務器群響應、緩存支持和企業內部云服務器同步等技術,‘云安全’的性能問題已經得到了解決。”徐學龍如是說。
另外,如果從網絡與安全的兩個層面考慮,李宏凱的看法是,“云安全”是由保護實體和服務網絡兩部分組成。相對應的,在保護實體部分要有完善的多樣化威脅的檢測能力,如郵件安全,網頁安全,數據安全,系統安全等比較清楚的分類保護選擇,這樣能讓用戶對保護實體的安全防御方向和內容有比較清晰的認識。另外,在保護實體和云網絡的服務通信方面應該具有一定的可視性,比如郵件安全/系統安全/網頁安全等安全套件的云網絡連接狀態等。
“云安全”對各廠家而言還是有程度上的不同,它代表的是一種服務模式,不同產品的實際防御范疇的定義還不盡相同,因此在實際的防御效果上用戶的體驗也是不一樣的。 他表示:“業內廠家趨于一致的國際化概念,都會重點強調‘云安全’保護實體、實現威脅統一化檢測的能力,這一點也是大部分廠家都需要不斷加強的。當然,站在Fortinet的角度看,還會強調更多的云網絡的服務模式,這樣可以更加方便企業用戶去理解‘云安全’的應用。”
有趣的是,張鴻文博士在談到“云安全”的技術標準時非常坦率,他說:“國內用戶關注標準自然無可厚非,但遺憾的是,很少有用戶能夠理解并且真正搞懂這些標準,無論美國、加拿大、還是中國,用戶關心的是,‘能夠用哪些看得見的手去摸到云本身’。”
“‘云安全’技術在選擇上面臨多種需求的壓力:第一,一個強壯、安全的‘云安全’方案,是否會影響企業網絡本身的性能,甚至帶來額外的故障點?第二,很多用戶希望能夠快速、精準地檢測到來自Web的安全威脅,但是用戶有沒有關心安全設備自身的威脅簽名列表數據庫容量是否足夠大?第三,隨著越來越多的安全威脅嵌入到應用程序之中,簡單、傳統的封包檢測是否還能應付?第四,如果廠商不能提供多區域分布數據庫的主機服務,擁護是否會面臨有云無響應的風險?第五,不同廠商提供的‘云安全’方案橫跨終端與網關,應用與更新過程中是否會出現兼容性風險?”張鴻文如是說。
的確是這樣,當選擇一個“云安全”解決方案的時候,終端用戶的考量是非常重要的問題。此前南寧市財政信息中心主任劉波在接受記者采訪時透露,他們最初對云安全的技術不是很了解,但是隨著越來越多安全公司的介入,他們身邊很多同行都非常關注“云安全”技術的發展,并且不少同行都在參與一些產品測試。從他了解的情況看,支持“云安全”技術的安全產品在使用和實施上確實具有簡單、高效的優勢,對比的安全效果很明顯,特別是能夠保證安全技術不給企業網絡的通暢造成負擔。
不過說到利用云計算的技術完善信息安全體系結構,劉波主任對此表示仍有待考察,因為對于通過網云實施的安全服務與響應,還需要進一步的體驗。
云保護必不可少
在記者看來,“云計算老,云安全新”,已經成為不爭的事實。但這一老一新如何能讓用戶放心使用,需要走的路還很長。事實上,從2008年底,IDC、Gartner等咨詢機構紛紛作出了安全廠商們的云端服務器群組存在安全隱患,以及用“云安全”方案保護企業用戶服務器群組需要完整考慮等報告。針對此問題,一些安全大廠紛紛在今年年初開展了各式各樣的針對服務器的“云保護”運動。
據徐學龍介紹,在“云安全”技術中,云端服務群組的安全性是整個“云安全”技術應用的基礎,這是當前安全領域的另一個方向,在這方面廠家的投入是最大的,幾乎到了無以復加的地步。另外他也強調,趨勢科技目前的解決方案側重于保護企業用戶網絡的訪問安全,在服務器群保護方面,云安全體系已經具有很好的安全實踐:目前趨勢科技云端服務器群組中的計算云有2000多臺服務器分布在全球的五大數據中心,服務云有超過34000多臺服務器分布在全球各個國家的電信機房內,這些服務器采用了加密認證、冗災備份、安全隔離、服務器節點安全等多種安全防護技術。
另外,從應用的角度來看,企業用戶主要看的是防護效果。此前,上海進出口檢驗檢疫局科長吳穗玲在接受本報獨家專訪時表示說:“由于‘云安全’技術有非常突出的防護木馬、間諜軟件、惡意程序攻擊的效果,所以我們的接受度很高。從實際的使用情況看,集成‘云安全’技術的產品,由于在網絡威脅侵入前就進行了阻止,所以對我們的管理和維護成本與人力耗費有很大程度的降低。目前我們已經率先在檢驗檢疫系統開創了安全監控的‘云安全’模式。”
對此,李宏凱也持同樣觀點,他表示云網絡的健壯性和自我安全性是廠家服務網絡的一部分,這是一個基礎組成部分,是一個前提。每一個廠家都應該在構建云網絡時就應該同步部署其健壯保護體系,作為服務網絡,這是不可分割的。而Fortinet的FortiGuard云網絡外圍部署了完善的七層防御網關,系統是全冗余設計,并且具備的自動恢復能力,各區域網絡全網狀同步,因此對云端網絡完全具備了健壯保護的條件。
據了解,FortiGuard云安全服務網絡為全球每一個FortiGate安全網關提供分布式安全服務,采用推送式的安全更新和分析驗證保證客戶端得到全球化的安全分析服務,每周幾億條威脅樣本分析能力和更新,每個客戶端的網關節點都能共享不同區域的最新威脅分析成果。 FortiGuard云安全服務網絡能夠分析客戶端安全網關提交的安全鑒別請求和查詢,并快速提供分析結果,使客戶端網關在最簡化配置下具備了最大強度的安全防御能力。
在此需要強調的是,“云安全”也好,“云保護”也罷,其最重要的一點就是讓用戶體驗到統一威脅防御和云服務網絡的實際效果。換句話說,保護企業實體的安全防御能力是第一步,“云安全”是一種服務模式,用戶最直觀的還是要看安全保護實體的部分,畢竟這是在用戶端的產品,是用戶可感知的部分。當用戶認識到使用的保護實體在不同威脅上的一致化防御效果,那么自然就容易接受觸摸不到的那部分云端服務群組。
警惕云安全跟風潮
不難看出,“云安全”從技術選擇到方案部署都十分復雜,但有意思的是,除了本文接觸到的三家國外安全大廠,目前市面上宣稱支持“云安全”技術的本地廠家卻多如牛毛。這種現象在三年前的UTM市場一樣出現過,并最終導致傳統UTM產品的潰敗。
有業內專家表示,目前業內安全廠商的跟風現象嚴重,一時間所有的網絡安全廠商都推出了各種形式的“云安全”方案。
第一,這說明安全廠家都意識到對多樣化安全威脅防御的重要性,對統一安全服務網絡發展方向具有相同的認識,從這點上來說,對市場和用戶而言是有積極意義的。
第二,由于這種跟風現象,也讓部分用戶在使用各式各樣的“云安全”產品時擁有“非常不同”體驗,有些確實令人不快。在記者看來,最重要的還是要有真正適合統一威脅防御技術的產品和24x7的云服務網絡,才能讓用戶真正使用上云網絡的優勢,這種服務要有可視性,要真正得到用戶認知。
#p#
權衡好處與風險
隨著云計算的安全縫隙變得更加顯而易見,用戶開始尋找保護數據安全的途徑。紐約投資銀行金融服務機構Cowen公司CIO Daniel Flax依靠云計算實現公司銷售活動自動化。盡管他對云計算降低前期費用、減少停機時間和支持額外的服務的潛力感到滿意,但他承認他必須努力了解這項新興技術的安全弱點。他說:“安全是我們必須直接面對的挑戰之一。”
設在多倫多和新斯科舍省Halifax的交互生產公司Stitch Media的所有者兼IT主管Evan Jones也擔心云計算安全問題。他說:“當你把重要的公司數據交給第三方時,想起來就感到害怕。”
同數量越來越多的IT經理一樣,Flax和Jones開始意識到云計算在安全方面沒有為公司提供免費班車。去年發表的一份Gartner報告確定了對幾個領域中的安全風險的擔心,如數據隱私以及完整性與遵從性管理,這些擔心應當令那些考慮沖進云計算的人放慢腳步。
Gartner分析師Jay Heiser警告說:“企業,特別是那些屬于管制行業的企業,必須權衡云計算服務帶來的業務好處與風險。”
云計算最大的風險之一源于其性質:它允許數據被傳送和保存在幾乎任何地方――甚至分開保存在世界不同位置。盡管數據散布幫助使云計算具有成本和性能優勢,但不利之處是企業信息可能保存在放置在隱私法松弛或者甚至不存在的位置中的存儲系統中。
Flax使用Salesforce.com公司的Force.com平臺實現Cowen全球銷售系統自動化。他說確保數據避免存在風險的目的地的最佳辦法是與一家是上市公司的云廠商合作,由于是上市公司,因此法律要求該廠商披露它是如何管理信息的。
Flax說,Salesforce.com是上市公司,“因此,我們對管理它們的數據中心的嚴格的流程和規定感到放心。”他說:“我們知道我們的數據在美國,我們擁有有關我們談論的數據中心的報告。”
紐約州Troy市的Agora Games是一家建設視頻游戲玩家Web社區的公司。該公司對它的云計算提供商Terremark Worldwide將它的數據和應用放在何處做不了主。但Agora的首席技術官Brian Corrigan說,這種情況不久會改變。
他說,Terremark不久將為Agora提供“挑選虛擬機實際上在何處運行的選擇。目前,惟一的選擇是Miami的設施,但Terremark將增加其它位置,因此這將成為我們可以控制的問題。”
密切跟蹤
云計算散布的性質也使跟蹤未經授權的活動充滿挑戰,即使在采用仔細的日志程序時。幾乎所有云計算提供商都使用加密技術,如安全套接層技術,來保護傳輸中的數據。但Heiser指出,確保存儲的數據被加密也很重要。他說:“如果數據保存在共享環境中(這種情況很常見),你可以設想未加密的數據可能被未經授權的人員閱讀。”
Indian Harvest Specialtifoods是明尼蘇達州Bemidji市一家向世界各地的餐館配送大米、谷物和豆類的公司。公司IT主管Mike Mullin說,他依靠提供商NetSuite公司來確保他發送到云中的數據得到全面的保護。他說:“由于使用了SSL,我對我們的數據是安全的非常自信。如果不是這樣的話,我想很多人會遇到問題,而整個云計算行業也會遇到問題。”
Mullin指出,云計算采用者還必須謹慎評估他們自己的基礎設施和安全實踐,尤其是訪問控制。他說:“你的基礎設施與提供商的基礎設施一樣存在弱點。”
使用Amazon.com公司的S3云平臺與全布的全球的雇員和承包商共享文件的Jones也認為訪問控制至關重要。他說:“我們發現當我們分配不同的級別時,該系統能最好地滿足我們。”敏感級別最高的文檔根本不傳送到云中;它們被本地保存。Jones說:“有一些文檔我們不準備傳送到云中,但我要說95%的文檔不屬于這個級別。”
Corrigan說,全面的云計算安全需要一種整體的實現方式。他建議:“為了取得超級安全的數據,從如何保存它們入手,然后解決如何傳輸它們。通過某種雙因素認證方案管理訪問。如果你真正擔心的話,你可以將你自己的認證服務器保留在公司內部――這保證你掌握控制權。”
遵從性問題
由于云計算將業務數據交到外部提供商手中,因此它使法規遵從性變得比系統保留在公司內部時的風險更大。失去直接的監管意味著客戶公司必須驗證服務提供商努力確保數據安全性和完整性堅固可靠。
Heiser指出任何云計算提供商應當自愿進行外部審計和安全認證,以確保特定控制的質量。他說:“不愿意合作是個警告標志。”
從業于嚴格管理的金融服務行業的Flax依靠SAS 70審計來確保他的云計算提供商符合政府和行業要求。他說:“現在有規定數據中心的SAS 70審計有什么要求的標準。” 由美國認證公共會計師協會開發的SAS 70審計涉及數據傳輸與保存技術和實踐,包括網絡運營、數據保護和物理安全元素。
Flax說:“我們非常仔細地閱讀了這些審計標準,因為同審計某個人的賬本一樣,僅僅由于審計是全面的并不意味著它們完全符合要求。”
總的來看,IT經理越來越意識到云計算的安全弱點并控制它們的事實表明采用者開始現實地而不是透過有色眼鏡看待這種新興技術。
安全云計算五步走
了解云計算特有的松散結構對傳送到它上面的數據安全有何影響。
確保云提供商能夠提供有關其安全架構的詳細信息并愿意接受安全審計。
確保內部安全技術和實踐,如網絡防火墻和用戶訪問控制,可以很好地契合云安全措施。
了解法律、法規對傳送到云中的數據有何影響。
關注可能影響到數據安全的云技術和實踐的變化。
突破云計算的迷霧
云計算是當前最熱門的話題,無論是Google、微軟,還是IBM、SUN他們都發布了云計算計劃以及相關產品。但是對于普通消費者來講,云計算到底是什么?又能夠給消費者帶來什么?
云計算其實簡單的講,就是簡化客戶端的處理能力,將更多的處理任務交給云計算端去做,兩者之間通過互聯網交換數據,最為典型的就是互聯網搜索、郵件等服務,數據存儲在互聯網之上,而不是客戶端計算機中,需要使用就可以隨時獲得。
同時,我們也看到微軟雖然也積極的參與云計算,但是他們仍然擔心開發云計算會砸掉自己的office等桌面軟件生意,因為當一切都交給云端去處理的時候,使用在線編輯和存儲,office桌面軟件就不值錢了,即使降到199元一套,也會無人問津,這個時候微軟這臺印鈔機就會掛掉。
而Google作為云計算的倡導者,也是為了顛覆微軟的桌面軟件系統,推出了多種apps,包括gmail、office online,也在構建大型的數據中心,希望將更多的數據都放到數據中心來運行,而并非客戶端,但是到如今Google仍沒有針對中國的中小企業以及個人推出云計算服務,原因是Google也有自己的顧慮,最重要的是這是否會影響其廣告收入。
而SUN以及ORACLE雖然也提出要做云計算,但是同樣存在顧慮。基于云計算的軟件即服務SAAS正在利用云計算去替代桌面軟件,oracle和sap等企業必然受到沖擊,對于中小企業有較大的吸引力,而SUN是做服務器,如果中小企業不再需要自己搭建IT系統,那么SUN的服務器賣給誰?
既然微軟、Google都存在自己的顧慮,所以筆者認為他們提出云計算的概念和計劃只是為了搶占市場先機,同時也是為了搶先注冊專利。用戶等待他們大規模的推出云計算,估計不是一年兩年的事情。但是這并不意味著,我們無法享受云計算這種成本更低的技術,因為在網絡安全領域完全可以使用云計算降低成本,為用戶帶來更好的安全服務。
前幾天,有消息說趨勢科技公司在做“云安全”,大意是利用趨勢科技在全球各地3萬余臺服務器,實時收集趨勢科技全球用戶的應用請求,并通過在云端的計算,判斷這些請求是否是安全的,比如,一條鏈接或者一個按鈕,趨勢科技先通過存儲在其云端的數據對這些請求進行鑒別,分析其是否是安全的鏈接和按鈕,并瞬間給客戶以反饋。
云端強大的存儲和處理能力,完全可以保證用戶得到的反饋是同步的,而目前的殺毒軟件則無法實現這種快速分析處理,一般都是馬后炮,也就是說只有大規模的感染了病毒,而這些病毒必須是他們事先存入服務器的代碼,如果是變種病毒則無法攔截,我們看到臭名昭著的熊貓燒香病毒,殺毒軟件們都是無能為力。
而通過遍布全球的服務器構建一個強大的云端,完全能夠攔截病毒變種,而且這也大大減少客戶端的處理任務,減少客戶端內存占用,無需按時殺毒和升級軟件,因為云端和客戶端隨時通過互聯網交互信息,所有計算放到云端上進行,這大大節約了成本和時間,有效的控制了病毒傳播。
總之,云計算是未來IT互聯網產業發展的趨勢,雖然目前還存在各種難以普及的問題,但是無論微軟、oracle等企業多么希望死守桌面軟件,這種成本低廉、性能超群的云計算還是會普及,而趨勢科技等企業的“云安全”已經可以為普通用戶提供服務,帶來價值。
【編輯推薦】
