云計(jì)算時(shí)代云安全很重要

第三屆云計(jì)算大會(huì)5月20日繼續(xù)在北京國(guó)家會(huì)議中心舉行。在進(jìn)行的云計(jì)算環(huán)境下的信息安全專題論壇中，衛(wèi)士通總經(jīng)理助理兼戰(zhàn)略合作部總經(jīng)理鐘博做了《云環(huán)境下的安全體系架構(gòu)》主題演講。他表示，云計(jì)算時(shí)代的到來(lái)是無(wú)法回避的事實(shí)，云的設(shè)計(jì)要安全和應(yīng)用同步考慮，規(guī)劃完善的安全體系架構(gòu)，這樣才能避免重蹈覆轍。

衛(wèi)士通總經(jīng)理助理兼戰(zhàn)略合作部總經(jīng)理鐘博

鐘博表示云安全是云計(jì)算大規(guī)模應(yīng)用的前提，現(xiàn)今云安全已經(jīng)上升到國(guó)家安全戰(zhàn)略的層面，云安全不僅僅是技術(shù)問題，必須提前規(guī)劃安全體系。

鐘博談到，云沒有像我們想象的發(fā)展那么快一個(gè)重大原因還是安全問題。云的安全現(xiàn)狀讓人擔(dān)心，云技術(shù)本身上講是并行的分布式網(wǎng)絡(luò)計(jì)算機(jī)，當(dāng)時(shí)的工程師本身是網(wǎng)絡(luò)計(jì)算，工程師畫網(wǎng)絡(luò)的時(shí)候習(xí)慣于用云來(lái)表現(xiàn)，叫習(xí)慣了就叫云。因?yàn)樗墙⒃诰W(wǎng)上虛擬技術(shù)上，而且這些技術(shù)本身從安全上并沒有什么本質(zhì)的突破不管是現(xiàn)在的寬帶網(wǎng)絡(luò)也好，還是分布式計(jì)算模型，還有虛擬機(jī)本身的安全還是一如既往向以前一樣存在。把這些綜合在一起，我覺得安全風(fēng)險(xiǎn)并不是減少而是加大。用戶在獲得計(jì)算儲(chǔ)存方面的高性能，低價(jià)格同時(shí)喪失了對(duì)信息和數(shù)據(jù)的自主控制。

鐘博認(rèn)為，云計(jì)算安全的根源：應(yīng)用環(huán)境和數(shù)據(jù)脫離用戶可控范圍，數(shù)據(jù)和應(yīng)用環(huán)境分離，這是導(dǎo)致云計(jì)算問題的根源。誰(shuí)能控制云計(jì)算，誰(shuí)就能控制信息的主權(quán)。云計(jì)算的基礎(chǔ)則是服務(wù)器與儲(chǔ)存技術(shù)，中國(guó)并不是這些領(lǐng)域的技術(shù)與市場(chǎng)掌控者。這不是簡(jiǎn)單的安全問題，而是一個(gè)信息主權(quán)的問題。所以說云安全已經(jīng)上升到國(guó)家安全層級(jí)。

鐘博繼續(xù)談到，云計(jì)算的通信基礎(chǔ)是TCP/IP網(wǎng)絡(luò)，網(wǎng)絡(luò)本身就不安全。同IP協(xié)議一樣，云計(jì)算的核心技術(shù)包括包括虛擬化、分布式計(jì)算等，在設(shè)計(jì)之初并為充分考慮安全問題，存在先天不足。程序的實(shí)現(xiàn)手段和水平不同，有些通過C/C++實(shí)現(xiàn)的程序很容易導(dǎo)致緩沖區(qū)溢出攻擊等，引入安全漏洞。作為底層支持的操作系統(tǒng)在內(nèi)存保護(hù)、數(shù)據(jù)隔離、權(quán)限管理、身份認(rèn)證，防木馬病毒攻擊等方面本身存在缺陷，通過不定方式難以根治。相關(guān)的標(biāo)準(zhǔn)、法規(guī)、監(jiān)管體系缺乏，沒有完整的云安全體系。云的設(shè)計(jì)要安全和應(yīng)用同步考慮，規(guī)劃完善的安全體系架構(gòu)，避免重蹈覆轍。

以Hadoop為例，Hadoop既實(shí)現(xiàn)了MAP計(jì)算模型，也實(shí)現(xiàn)了分布式文件系統(tǒng)，它被設(shè)計(jì)成適合運(yùn)行在通用硬件上、具有高度容錯(cuò)性，適合部署在廉價(jià)的機(jī)器上。Hadoop能提供高吞吐量的數(shù)據(jù)訪問，非常適合大規(guī)模數(shù)據(jù)集上的應(yīng)用，它已在有數(shù)千個(gè)節(jié)點(diǎn)的JNU幾機(jī)組成的集群系統(tǒng)上得到驗(yàn)證。通過分析代碼，數(shù)據(jù)傳輸基于TCP/IP協(xié)議，以Socket方式實(shí)現(xiàn)，但在傳輸和存儲(chǔ)過程中沒有做加密。各個(gè)節(jié)點(diǎn)間沒有強(qiáng)認(rèn)證機(jī)制，容易假冒。

既然有這么多問題，就是需要建立安全的架構(gòu)。我們比較贊成云管端的模式。

從安全機(jī)制來(lái)講，我們需要考慮幾個(gè)方面，終端安全，管道安全和后臺(tái)運(yùn)營(yíng)安全。這里面最核心的技術(shù)就是密碼技術(shù)和加密技術(shù)。從體系架構(gòu)來(lái)講，首先它需要有一個(gè)標(biāo)準(zhǔn)，相應(yīng)的體制和政策法規(guī)做規(guī)范，比如密碼管理的標(biāo)準(zhǔn)相應(yīng)的法律法規(guī)，需要安全管理和安全支撐，涉及到秘鑰的管理，涉及到對(duì)證書的管理。安全支撐主要是做統(tǒng)一的全局域的統(tǒng)一身份認(rèn)證，通過云的平臺(tái)安全，管道安全，云終端一起提供云的安全服務(wù)。從終端安全來(lái)講，我們需要實(shí)現(xiàn)終端可信，接入認(rèn)證，身份識(shí)別，防攻擊，抗丟失，數(shù)據(jù)丟失。手段有密碼安全芯片，安全協(xié)議，安全通信模塊，密碼模塊，安全會(huì)聚設(shè)備，終端防護(hù)系統(tǒng)，防木馬病毒系統(tǒng)。

管道的安全跟傳統(tǒng)的網(wǎng)絡(luò)安全方式比較接近，需要保證數(shù)據(jù)的傳輸，后臺(tái)的安全，抗網(wǎng)絡(luò)攻擊，入侵防護(hù)和身份識(shí)別，支持VIP6。云平臺(tái)安全目標(biāo)實(shí)現(xiàn)虛擬化安全，分布式計(jì)算安全，存儲(chǔ)安全，節(jié)點(diǎn)間認(rèn)證，訪問控制，日志審計(jì)，調(diào)度安全，開發(fā)安全，應(yīng)用安全。云安全的支持實(shí)現(xiàn)統(tǒng)一用戶身份管理，統(tǒng)一身份認(rèn)證和單點(diǎn)登陸，統(tǒng)一授權(quán)管理，統(tǒng)一訪問管理。從管控來(lái)講包括安全管理，密鑰管理，證書管理，安全運(yùn)維。

在這個(gè)基礎(chǔ)上我們提出了云計(jì)算環(huán)境安全體系架構(gòu)體系，包括體制標(biāo)準(zhǔn)政策法規(guī)，就是密碼管理?xiàng)l例，測(cè)評(píng)認(rèn)證標(biāo)準(zhǔn)，分等級(jí)保護(hù)規(guī)范等。

剛才我們提到了我們要架構(gòu)自主可控云安全計(jì)算平臺(tái)，大量可以采用已有的可信計(jì)算技術(shù)，確保云平臺(tái)的自主可控。在這個(gè)基礎(chǔ)上我們可以做內(nèi)核層的文件過濾，包括操作系統(tǒng)本身不被木馬病毒攻擊。

剛才還提到了一個(gè)安全即服務(wù)SAAS，包括數(shù)據(jù)安全，應(yīng)用安全，邊界安全，存儲(chǔ)安全。

這是我們提供安全存儲(chǔ)服務(wù)的云架構(gòu)。它采用密碼加密為核心，實(shí)現(xiàn)多維度的安全，我們把安全作為一種服務(wù)項(xiàng)目提供，在密碼管理安全測(cè)評(píng)上是符合國(guó)家要求，再有我們安全和應(yīng)用的融合，覆蓋了各種各樣的使用場(chǎng)景，把產(chǎn)業(yè)鏈串在一起，構(gòu)成一個(gè)完整的基礎(chǔ)設(shè)施。

云安全是云計(jì)算的基礎(chǔ)，把好安全關(guān)才能穩(wěn)定地進(jìn)行其他的業(yè)務(wù)的擴(kuò)展。

【編輯推薦】

1. 運(yùn)營(yíng)商部署“云安全”可獲三重利益
2. 云計(jì)算安全不安全？43%受訪企業(yè)質(zhì)疑
3. 云安全公司—熊貓安全發(fā)布最新2012產(chǎn)品線
4. 網(wǎng)秦?fù)屛?ldquo;云安全”市場(chǎng)