近年來,隨著云計算的興起,云安全也成為一個時髦的話題。在各種公開場合,安全廠商幾乎都會給自身的新產品貼上“云”標簽。和整個IT領域一樣,安全界也人“云”亦“云”。
不過,仔細想想云安全,似乎沒個統一說法,各家所言可能只是其中一方面,采用某一個廠商的單一云安全產品也不能實現真正意義上的云安全。但云安全絕非一股時髦的風,隨著云計算研究和應用的深入,云安全將給安全領域帶來一場變革。
云安全的三層含義
談云安全之前,有必要理清一下云安全的概念。云安全主要包含三層含義:
第一是如何保護云計算的環境,也就是如何保護SPI等不同的云計算環境。比如說某企業要建一個私有云,那么如何保證這個私有云的安全性,這就是保護云計算環境的安全性。這涉及到對云數據中心的保護環節,這體現了云計算安全的基本內涵,一般將這層含義稱為“云計算安全”。
第二是如何利用云給用戶提供服務。電信運營商或安全服務提供商可以建一個云,通過云把安全當成一種服務提供給客戶。比如通過云提供電子郵件的垃圾郵件過濾、病毒過濾、郵件服務持續性、歸檔等,在全球范圍內已經是一項非常成熟、廣為客戶接受的安全服務。這類服務一般稱為“云安全服務”(Security as a Service,SecaaS)。
第三是如何利用云的技術增強安全防護的技術能力,比如采用位于云端的數據庫對病毒的識別和防范能力進行增強。目前很多安全廠商所謂的“云安全”主要指這個意思。但是這種概念不僅局限于病毒防范,在很多領域比如防入侵、郵件安全、Web安全都可以很好地運用云的技術進行防護能力提升。我們可以稱這類能力為“云安全智能”。
通常,很多安全廠商指的云安全只包含其中某一方面,只有全面理解了云安全的概念內涵,才可能更深刻地理解云計算帶來的安全挑戰。
邊界突破
云計算帶來的安全挑戰,首先是帶來了邊界突破的問題。新的IT環境下,應用邊界、服務邊界、資產邊界都將被突破。
具體說來,一個是應用的邊界。因為云計算及IT的變化,使得現在IT的應用基本上只是一個想象力的,沒有任何技術性,這在以前不可思議。以前要把好的想法或者真實的問題用IT技術解決,肯定會想很多東西,會被IT框住,現在這個邊界都打破了,有好的想法立刻可以實現,包括后面的數據。而且,因為云計算帶有很多新的idea可以引入到應用行業里,比如未知信息,個人身份信息都可以納入到里面去,應用很多,所以應用完全突破了。
另外一個就是服務的邊界。你想做什么都可以,不僅僅是企業內部員工,你完全可以找第三方人來做。比如做一個分析的系統,用手機可以看到項目的進展情況,可以找第三方,直接把這個應用提供給我,不用買服務器,不用終端,直接買服務。為什么第三方愿意做呢?因為通過服務他可以有收入。
第三個突破是相關資產邊界的突破,就是企業內部IT對資產的概念、邊界模糊了。現在很多東西不是你所擁有,你真正擁有的是里面的信息和數據。所以云計算也好,社交網絡也好,移動互聯網也好,確實給移動信息帶來了很大的推動,但對安全挑戰也非常巨大,幾乎是顛覆性的。
云計算帶來的另一個安全挑戰,是對用戶數據中心的挑戰:數據中心網絡設計的扁平化和高速化,逐漸從傳統多層數據中心網絡向平面網絡架構過渡,平面網絡架構使用基于數據流、非攔截、最短路徑結構來最大限度地提升網絡性能;相對于傳統數據中心,云化的數據中心內部之間的流量將會大大增加。云數據中心內部系統的虛擬化將引發新的安全問題,同時,訪問數據中心的客戶端設備具有移動化趨勢。此外,云化的數據中心和高速的Internet出口帶寬也會被黑客利用作為攻擊跳板,從而可能會給用戶帶來新的互聯網邊界責任風險,這就要求用戶對云化的數據中心外發的數據流量也要進行嚴格的入侵分析和過濾。
過去,網絡信息的監控可以用網管設備來滿足,在虛擬化時代,同一個主機上的虛擬系統互相訪問則不會經過這些過時的網管設備。再有,傳統物理時代能夠用“拔網線”這樣的手段立即中止網絡形式的病毒爆發,在虛擬化時代這樣的策略已經是不符合新的系統形態。而且邊界式的保壘式防護在云計算時代也隨著邊界定義模糊、消失而不再適用。
綜合來講,數據的集中、系統的虛擬化、業務應用的物理分布、訪問端點的移動化和消費化,等等趨勢,無一不對用戶的安全建設提出了更高的要求,同時也對傳統的安全理念發起了挑戰。
云安全,有哪些防護重點?
云計算帶來了諸多新的安全挑戰,作為安全廠商,防護重點是什么呢?
在保護云計算環境的安全性方面,也就是“云計算安全”方面,有很多技術工具和產品可以沿用以前的技術手段。但是由于云計算環境引入的一些技術因素和地理因素,導致用戶對安全產品的選擇需要具有新的標準。云計算環境中會導致一些傳統的安全產品不再有效。這里容易忽略的是,新技術對舊技術的向下兼容不足以代表無需在新技術上調整,或生根地步的優化。對于新技術應采用結構性的“集成”,而非應用性的“兼容”。
云計算廣泛采用的虛擬化技術,可能會導致諸多問題:對虛擬機環境下的安全域劃分需要重新定義和隔離、一個物理計算機上面可能會出現隸屬于不同安全域的虛擬機、虛擬機的惡意代碼防護可能會導致AV風暴、停用虛擬機再次上線可能會導致因病毒特征文件過期形成安全薄弱環節、異構虛擬化平臺的統一安全管理,等等。此外,由于云計算數據中心的網絡結構趨于高速化和扁平化,對于網絡入侵防御設備在加載規則情況下的處理性能也提出了更高的要求。而且,由于云計算技術得到了更加廣泛的關注和推廣,企業應用日趨遷移到云計算數據中心中,導致企業用戶在企業內部網絡和位于Internet上的云數據中心之間的業務交換日漸頻繁,因此,如何有效地保證數據交換服務的安全性,比如XML的安全性、身份認證、授權等,將是安全領域研究者和安全廠商面臨的新的安全問題。
“云安全智能”主要體現在安全廠商如何利用云的技術增強自身的產品對新出現的威脅的響應能力。由于混合型威脅的快速演變,以及APT(高級持續性威脅)的日益盛行,只有對安全威脅的各種向量都能夠全局了解才有可能做出合理的響應。為此,有知名的安全廠商對IT部門提出了如下要求:
采取主動態度。企業IT部門在邁入云計算環境時需要采取一種更為主動的態度。當前更多的IT組織都在采取循序漸進、有條不紊的保守方式部署云計算。此外,IT負責人應把握好對安全性、可用性和成本等重要問題的控制,做到這一點需要事先對IT員工進行適當的培訓和準備工作。
設置信息和應用層。并非所有的信息和應用都是在同一層面上創建的。進行分析并將信息和應用放置在各個層次,才能確定哪些能優先進入云環境。
評估風險并合理設置政策。確保關鍵信息只能被授權用戶訪問,且不得將關鍵信息帶出公司。同時,確保云服務提供商能滿足企業合規性的要求。最后,對潛在云服務供應商的運作能力進行評估,例如高可用性和災難恢復能力。
立即開始行動。云計算的實現并非是一步到位的工作,充分利用云服務是邁入云環境的一個簡單的開始。盡管轉移業務關鍵應用的準備可能需要一些時間,但可以先從比較簡單的應用和服務開始部署。
新的起跑線,安全廠商如何占據高點?
云計算給安全廠商帶來了新的機遇和挑戰。面對產業變化,安全廠商們將怎樣迎接挑戰?怎樣抓住新的機遇?
賽門鐵克的安全專家給出了他們的看法:安全廠商要在新一輪競爭中贏得制高點,必須具備三點,第一要有新的思路,第二要有新的保護手段,第三要工具化。沒有威脅就談不上安全,對威脅的產生廠商要有及時的敏感預警,能夠迅速捕捉到新威脅的動態,以及具體是哪些新的威脅。目前智能還是一種知識,還需要變成智能,對知識要及時加工,把它變成一種產品和技術,使得能夠幫助用戶快速地更新防御體系中的能力,去識別、去應對、去預警這樣的威脅。對安全廠商而言,一方面的能力是快速獲取情報,另一方面必須快速地智能提升防御體系產生反應。此外還要有新思路,如SaaS類似于把安全智能變成云服務的客戶,因為客戶很難能及時更新他的知識庫,但是專業的云服務提供商構建這樣一個智能體系是比較容易的,即把知識變成產品和服務的體系。
很多人將云計算理解為信息安全廠商的一個新的起跑線,云計算的興起給信息安全產業帶來了新機遇,也帶來了很大的挑戰。很多傳統的安全防護思路會隨著云計算信息系統體系結構和應用的變化作出調整和改變,云計算體系復雜,要解決的問題更多,因而對安全而言發展空間會更多,但若安全企業固守原有的技術和模式,終將被淘汰。只有那些能夠發揮原有優勢,并勇于進行創新的企業,才有可能挖掘云計算時代新的安全需求并開發出相應的解決方案,最終在這個新時代占據信息安全產業新的制高點。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
本文標題:云安全帶給邊界突破的新挑戰
相關文章
