云安全產(chǎn)業(yè)鏈推動(dòng)云安全進(jìn)程
【51CTO.com 綜合消息】為什么要說這樣的話?云安全聯(lián)盟中國(guó)區(qū)高峰論壇上一位嘉賓說,“水壺?zé)龅乃^對(duì)不是云”。那么云安全的問題,也就需要整個(gè)信息安全產(chǎn)業(yè),就云安全達(dá)成共識(shí)。云是互聯(lián)網(wǎng)和大規(guī)模數(shù)據(jù)中心不斷發(fā)展的必然產(chǎn)物。在未來10年里,云必將成為影響整個(gè)IT行業(yè)的關(guān)鍵性技術(shù),也會(huì)對(duì)現(xiàn)有的信息技術(shù)體系架構(gòu)帶來了深遠(yuǎn)的影響,云安全也隨之成為一個(gè)重要問題。
云計(jì)算是什么?
提到云安全,不能不說云計(jì)算。早在2000年的時(shí)候,國(guó)際上已經(jīng)有人提出網(wǎng)格計(jì)算與分布式計(jì)算的概念,隨著信息產(chǎn)業(yè)及市場(chǎng)的日益成熟,這個(gè)概念經(jīng)過商業(yè)化運(yùn)作,有了初步的框架,進(jìn)而形成了云計(jì)算的雛形。綠盟科技副總裁吳云坤表示,云計(jì)算并不是新東西,它所改變的只是運(yùn)營(yíng)方式、用戶交互方式以及營(yíng)銷方式等,可以說這是一種新的商業(yè)模式。正是這樣的轉(zhuǎn)變,讓各個(gè)領(lǐng)域、各個(gè)行業(yè)的廠商及企業(yè),會(huì)根據(jù)業(yè)務(wù)及市場(chǎng)的特性,就云計(jì)算的定義提出各自的觀點(diǎn)。
Frost & Sullivan市場(chǎng)研究機(jī)構(gòu)提出,云計(jì)算是一種靈活的、可擴(kuò)展的共享環(huán)境,第三方供應(yīng)商利用虛擬化技術(shù),基于按需提供的平臺(tái),通過互聯(lián)網(wǎng)向客戶提供及分配計(jì)算資源。國(guó)際云安全聯(lián)盟,在征詢國(guó)際業(yè)界廣泛的意見和實(shí)踐經(jīng)驗(yàn)后,指出云計(jì)算應(yīng)該包含如下方面:
◆按需供應(yīng),必須是密切結(jié)合業(yè)務(wù)需求,按照需求提供資源及服務(wù)
◆彈性,隨業(yè)務(wù)拓展可以靈活的調(diào)整及拓展架構(gòu)
◆多層租用,根據(jù)不同業(yè)務(wù),不同受眾,可以提供不同資源、不同形式的租用服務(wù)
◆云包含如下特征模塊:
基礎(chǔ)架構(gòu)即服務(wù)Infrastructure as a Service (IaaS),包含基本的IT架構(gòu),比如操作系統(tǒng),比如存儲(chǔ)
平臺(tái)即服務(wù)Platform as a Service (PaaS),包含IaaS以及快速應(yīng)用設(shè)備
軟件即服務(wù)Software as a Service (SaaS),包含所有的應(yīng)用程序
共有云,私有云,社區(qū)以及混合云部署
下面這張圖,對(duì)云給出了一個(gè)可視化的呈現(xiàn),說明了云計(jì)算的服務(wù)交付模式,以及如何部署云。
圖1 云計(jì)算架構(gòu)
云安全產(chǎn)業(yè)
云計(jì)算所帶來的深遠(yuǎn)影響,讓綠盟科技以及安全業(yè)界的先行者們清晰的認(rèn)識(shí)到,云計(jì)算所面臨的挑戰(zhàn)。IDC市場(chǎng)調(diào)研機(jī)構(gòu)數(shù)據(jù)顯示,云計(jì)算服務(wù)將在2013年達(dá)到整體IT消費(fèi)的10%,年收益高達(dá)442億美元,5年內(nèi)年平均增長(zhǎng)是26%,這是傳統(tǒng)IT行業(yè)增長(zhǎng)速度的6倍。而Frost & Sullivan市場(chǎng)研究機(jī)構(gòu),在2009年年末,對(duì)亞太區(qū)6個(gè)市場(chǎng),300個(gè)大型企業(yè),500人以上的大型企業(yè)他們的IT決策人做了一項(xiàng)云計(jì)算的調(diào)查。調(diào)查數(shù)據(jù)顯示,55.3%的人擔(dān)憂云安全問題,尤其是數(shù)據(jù)安全性。毫無疑問,云計(jì)算的蓬勃發(fā)展,已經(jīng)讓云安全已經(jīng)上升到產(chǎn)業(yè)的高度。
云安全產(chǎn)業(yè)鏈條,包括了云安全環(huán)境,云安全設(shè)計(jì),云安全部署,云安全交付,云安全管理,再到云安全咨詢,這是一個(gè)閉環(huán)。IDC 報(bào)告指出,云安全性包含至少兩個(gè)層次,一是制約用戶接受云計(jì)算的信用環(huán)境問題,這是云計(jì)算得以廣泛應(yīng)用的基礎(chǔ),也是推廣門檻,然后才是云計(jì)算的應(yīng)用安全。而其中良好的信用環(huán)境是技術(shù)層面的云計(jì)算安全之基礎(chǔ),也就是說,只有用戶認(rèn)可并采用云服務(wù),才談得上的云安全技術(shù)問題。
那么就云計(jì)算的信用環(huán)境來說,一方面是云計(jì)算提供商方面要樹立自身的信譽(yù),構(gòu)造可信的云;另一方面是云安全服務(wù)商方面,要對(duì)互聯(lián)網(wǎng)資源建立安全信譽(yù)評(píng)估系統(tǒng),以對(duì)抗云攻擊的“地下產(chǎn)業(yè)鏈”。這方面,Google和StopBadware走在了前面,隨后國(guó)內(nèi)安全業(yè)界的廠商也認(rèn)識(shí)到這一點(diǎn),紛紛采取了相應(yīng)的措施。2009年,綠盟科技發(fā)布互聯(lián)網(wǎng)信譽(yù)服務(wù)白皮書,并提供信譽(yù)評(píng)估服務(wù)。根據(jù)多年的安全研究積累,綠盟科技對(duì)互聯(lián)網(wǎng)相關(guān)資源進(jìn)行威脅分析和信譽(yù)評(píng)級(jí),累積IP地址、域名和URL等不同資源的內(nèi)容和行為記錄。同時(shí),匯集了來自于授權(quán)客戶和第三方合作伙伴的威脅反饋、自身安全產(chǎn)品的安全事件以及安全研究團(tuán)隊(duì)的風(fēng)險(xiǎn)預(yù)警,與目標(biāo)站點(diǎn)的歷史信息進(jìn)行整合,建立針對(duì)互聯(lián)網(wǎng)領(lǐng)域的長(zhǎng)期信譽(yù)追蹤機(jī)制。正是這樣的積累,讓綠盟科技在2010年8月,正式與StopBadware達(dá)成戰(zhàn)略合作,繼Google之后,成為其數(shù)據(jù)提供商。
而就云安全技術(shù)方面來說,云安全主要面臨這些挑戰(zhàn):
◆云計(jì)算的濫用、惡用、拒絕服務(wù)攻擊
◆不安全的接口和API
◆惡意的內(nèi)部攻擊
◆共享技術(shù)產(chǎn)生的問題
◆數(shù)據(jù)泄漏
◆賬號(hào)和服務(wù)劫持
◆未知的風(fēng)險(xiǎn)場(chǎng)景#p#
云安全如何定義
面對(duì)這些挑戰(zhàn),我們應(yīng)該從哪些層面入手,才能實(shí)現(xiàn)安全云呢?從IT架構(gòu)管理來看,企業(yè)敏感數(shù)據(jù),尤其是涉密企業(yè),出于安全性考慮,目前還會(huì)以私有云為主,在未來的一段時(shí)間,才會(huì)逐步過渡到共有云;從產(chǎn)業(yè)和市場(chǎng)發(fā)展,云安全還處在初級(jí)階段,從未有一個(gè)廠家的產(chǎn)品可以囊括云安全所有層面,也未能提出一個(gè)完整的解決方案。
要對(duì)云安全有一個(gè)全面的認(rèn)知,必須認(rèn)識(shí)到云安全是動(dòng)態(tài)的,是不斷演變的。云安全解決方案必須與應(yīng)用及服務(wù)充分結(jié)合,并適應(yīng)業(yè)務(wù)的發(fā)展需求。云安全聯(lián)盟提出,應(yīng)該從治理和運(yùn)營(yíng)兩個(gè)方面入手:
云安全治理:
◆Best opportunity to secure cloud engagement is before procurement – contracts, SLAs, architecture
◆Know provider’s third parties, BCP/DR, financial viability, employee vetting
◆Knowing where your data is
◆Plan for provider termination & return of assets
◆Preserve right to audit
◆Reinvest provider cost savings into due diligence
云安全運(yùn)營(yíng):
◆Encrypt data when possible, segregate key mgt from cloud provider
◆Adapt secure software development lifecycle
◆Understand provider’s patching, provisioning, protection
◆Logging, data exfiltration, granular customer segregation
◆Hardened VM images
◆Assess provider IdM integration, e.g. SAML, OpenID
如何做到云安全
那么用戶該如何選擇云安全服務(wù),又怎么才能做到云安全? 國(guó)際云安全聯(lián)盟發(fā)布的云安全指南指出,云安全要覆蓋云安全完整的生命周期,并完成最佳實(shí)踐以及分析工具。在云安全完整的生命周期中,理想的云安全狀態(tài)至少應(yīng)該包括安全治理、識(shí)別、訪問控制、數(shù)據(jù)保護(hù)以及審核,最終實(shí)現(xiàn)安全即服務(wù)(Security as a Service)。
圖2 理想的云安全
要實(shí)現(xiàn)這些,云安全治理及運(yùn)營(yíng)至少應(yīng)該包含13個(gè)領(lǐng)域,包括:
圖3 云安全治理與運(yùn)營(yíng)模型
而云安全分析工具,要區(qū)分用戶及供應(yīng)商角色,并完全遵從于ISO 27001, COBIT, PCI, HIPAA等國(guó)際標(biāo)準(zhǔn),從而彌補(bǔ)管理者及云安全審核之間的差距。云安全聯(lián)盟為此提供了云安全控制矩陣工具,請(qǐng)?jiān)L問Cloud Security Alliance官方主頁。
正是遵循這樣的云安全治理與運(yùn)營(yíng)原則,綠盟科技作為中國(guó)安全業(yè)的領(lǐng)先者,多年來始終致力于網(wǎng)絡(luò)安全的研究,并一直積極推動(dòng)國(guó)內(nèi)云安全的發(fā)展。2008年,綠盟科技宣布正式啟動(dòng)云安全計(jì)劃,成為國(guó)內(nèi)第一家進(jìn)入云計(jì)算和云安全領(lǐng)域的網(wǎng)絡(luò)安全廠商。云安全計(jì)劃中包含具備多種能力類型的安全云,目的是通過對(duì)互聯(lián)網(wǎng)進(jìn)行大規(guī)模集中分析和匯總,在全球范圍內(nèi)大規(guī)模部署中心服務(wù)器群,覆蓋入侵防御、漏洞掃描、掛馬防范、流量清洗等方面,全面檢測(cè)惡意網(wǎng)站與異常流量,提供了在大范圍網(wǎng)絡(luò)環(huán)境下解決云安全問題的全新思路,這種模式已經(jīng)在多個(gè)運(yùn)營(yíng)商骨干網(wǎng)和城域網(wǎng)得到了廣泛的部署。
2009年12月,綠盟科技成為國(guó)際云安全聯(lián)盟在亞太地區(qū)的第1個(gè)企業(yè)成員,并為推動(dòng)云安全本地化工作不懈努力。同年,云安全計(jì)劃持續(xù)完善,推出包括內(nèi)容安全監(jiān)管、異常行為審計(jì)、應(yīng)用安全交付等多種計(jì)算能力的云模式。2010年9月2日,云安全聯(lián)盟中國(guó)區(qū)分會(huì)宣布成立。#p#
云安全的實(shí)質(zhì)是什么?
面對(duì)龐大的云計(jì)算架構(gòu),要提供安全云服務(wù),靠單打獨(dú)斗是不行的。在經(jīng)歷了云計(jì)算紛爭(zhēng)的年代之后,日益復(fù)雜的應(yīng)用,云安全整體解決方案的需求,以及市場(chǎng)發(fā)展的磨合,都讓安全企業(yè)認(rèn)識(shí)到,云安全必須產(chǎn)業(yè)化,形成一個(gè)產(chǎn)業(yè)鏈條。而實(shí)現(xiàn)它的前提,就是必須找到一種方式,讓大家走到一起來,通過一系列溝通,描繪一個(gè)共同的愿景,解決一些分歧,推動(dòng)一些項(xiàng)目,交付一些成果,才能穩(wěn)固云安全的“短板”,推動(dòng)本地市場(chǎng)云安全產(chǎn)業(yè)的發(fā)展。另一方面,中國(guó)乃至亞太區(qū)的云安全形態(tài)及發(fā)展,對(duì)于國(guó)際云安全產(chǎn)業(yè)不可或缺,而國(guó)際規(guī)范只有適應(yīng)本地的、大規(guī)模市場(chǎng)后,產(chǎn)生有效的分析工具及方法,才具有實(shí)際意義。
云安全的實(shí)質(zhì)在于溝通協(xié)作,溝通協(xié)作需要平臺(tái)。隨著市場(chǎng)經(jīng)濟(jì)關(guān)系深化發(fā)展,以及社會(huì)分工在市場(chǎng)領(lǐng)域細(xì)化,必然會(huì)產(chǎn)生云安全的聯(lián)盟組織,它的完善與否是市場(chǎng)體系成熟與否的一個(gè)重要標(biāo)志。在這樣的背景下,國(guó)際云安全聯(lián)盟CSA(Cloud Security Alliance)于2009年RSA大會(huì)上宣布成立,是一個(gè)非盈利性組織。成立后,獲得了業(yè)界的廣泛認(rèn)可,與ISACA、OWASP等業(yè)界組織建立了合作關(guān)系,很多國(guó)際領(lǐng)袖公司成為其企業(yè)成員。
國(guó)際云安全聯(lián)盟于2010年,首次在中國(guó)舉辦峰會(huì),以“溝通分享,合作共贏”為主題,號(hào)召亞太區(qū)安全業(yè)界的參與,其意義就在這里。在本次峰會(huì)上,中國(guó)區(qū)分會(huì)正式成立,CSA主席Dave Cullinane以及國(guó)際安全界同行,紛紛到場(chǎng)或以各種形式表示祝賀。綠盟科技副總裁吳云坤先生表示,云安全的問題已經(jīng)讓大家達(dá)成共識(shí)。
多年來,綠盟科技始終致力于國(guó)內(nèi)網(wǎng)絡(luò)安全方面的研究,積累了大量的數(shù)據(jù),我們?cè)敢獠⒄谂c各方面展開積極的合作,分享數(shù)據(jù)和經(jīng)驗(yàn)。綠盟科技首席戰(zhàn)略官趙糧博士也提到,“在未來的12個(gè)月中,國(guó)際云安全聯(lián)盟中國(guó)區(qū)分會(huì),將會(huì)推動(dòng)一些列云安全方面的項(xiàng)目,并提交項(xiàng)目成果,還會(huì)積極開展地區(qū)性的云安全技術(shù)交流研討活動(dòng)”。正是安全業(yè)界各知名企業(yè)的積極參與,讓云安全聯(lián)盟在亞太區(qū)安全業(yè)界中引起了強(qiáng)烈的反響。
云安全產(chǎn)業(yè)的契機(jī)
毫無疑問,云安全產(chǎn)業(yè)鏈中的先行者們,將會(huì)在市場(chǎng)發(fā)展中,占據(jù)及其重要的地位,而這一點(diǎn),甚至能夠左右企業(yè)未來的發(fā)展,這也是為什么云安全聯(lián)盟一經(jīng)發(fā)起,幾乎所有與云安全產(chǎn)業(yè)相關(guān)的企業(yè),紛紛加入。在不到2年時(shí)間里,已經(jīng)有超過50個(gè)國(guó)際領(lǐng)袖級(jí)公司成為其企業(yè)成員,包括Google、HP、CISCO、Intel、MS、Oracle、Novell、AT&T、CA、McAfee、TREND、Symantec、NSFOCUS、3PAR等。
而在之前,國(guó)內(nèi)尚未具有影響力的云安全聯(lián)盟組織,隨著云計(jì)算的不斷發(fā)展和演變,國(guó)內(nèi)各個(gè)廠商及研究機(jī)構(gòu)對(duì)于云計(jì)算、云安全都有自己的獨(dú)特見解,這些觀點(diǎn)都代表了各個(gè)領(lǐng)域的發(fā)展特性。另一方面,來自國(guó)際信息安全方面的規(guī)范,也不能完全適應(yīng)國(guó)內(nèi)云安全發(fā)展的各個(gè)層面及特性??梢钥吹?,國(guó)內(nèi)云安全尚處于初級(jí)階段,而每個(gè)廠商或者企業(yè)的技術(shù)力量,都是有限的,不可能涵蓋云安全產(chǎn)業(yè)鏈的所有層面。國(guó)際云安全聯(lián)盟中國(guó)區(qū)分會(huì)的成立,對(duì)中國(guó)和亞太地區(qū)推動(dòng)云安全的實(shí)踐和創(chuàng)新,構(gòu)建中國(guó)乃至亞太地區(qū)云安全產(chǎn)業(yè)的理論指引,發(fā)掘及云安全產(chǎn)業(yè)中的契機(jī),具有及其重要的價(jià)值。