近年来,随着云计算的兴起,云安全也成为一个时髦的话题。在各种公开场合,安全厂商几乎都会给自身的新产品贴上“云”标签。和整个IT领域一样,安全界也人“云”亦“云”。
不过,仔细想想云安全,似乎没个统一说法,各家所言可能只是其中一方面,采用某一个厂商的单一云安全产品也不能实现真正意义上的云安全。但云安全绝非一股时髦的风,随着云计算研究和应用的深入,云安全将给安全领域带来一场变革。
云安全的三层含义
谈云安全之前,有必要理清一下云安全的概念。云安全主要包含三层含义:
第一是如何保护云计算的环境,也就是如何保护SPI等不同的云计算环境。比如说某企业要建一个私有云,那么如何保证这个私有云的安全性,这就是保护云计算环境的安全性。这涉及到对云数据中心的保护环节,这体现了云计算安全的基本内涵,一般将这层含义称为“云计算安全”。
第二是如何利用云给用户提供服务。电信运营商或安全服务提供商可以建一个云,通过云把安全当成一种服务提供给客户。比如通过云提供电子邮件的垃圾邮件过滤、病毒过滤、邮件服务持续性、归档等,在全球范围内已经是一项非常成熟、广为客户接受的安全服务。这类服务一般称为“云安全服务”(Security as a Service,SecaaS)。
第三是如何利用云的技术增强安全防护的技术能力,比如采用位于云端的数据库对病毒的识别和防范能力进行增强。目前很多安全厂商所谓的“云安全”主要指这个意思。但是这种概念不仅局限于病毒防范,在很多领域比如防入侵、邮件安全、Web安全都可以很好地运用云的技术进行防护能力提升。我们可以称这类能力为“云安全智能”。
通常,很多安全厂商指的云安全只包含其中某一方面,只有全面理解了云安全的概念内涵,才可能更深刻地理解云计算带来的安全挑战。
边界突破
云计算带来的安全挑战,首先是带来了边界突破的问题。新的IT环境下,应用边界、服务边界、资产边界都将被突破。
具体说来,一个是应用的边界。因为云计算及IT的变化,使得现在IT的应用基本上只是一个想象力的,没有任何技术性,这在以前不可思议。以前要把好的想法或者真实的问题用IT技术解决,肯定会想很多东西,会被IT框住,现在这个边界都打破了,有好的想法立刻可以实现,包括后面的数据。而且,因为云计算带有很多新的idea可以引入到应用行业里,比如未知信息,个人身份信息都可以纳入到里面去,应用很多,所以应用完全突破了。
另外一个就是服务的边界。你想做什么都可以,不仅仅是企业内部员工,你完全可以找第三方人来做。比如做一个分析的系统,用手机可以看到项目的进展情况,可以找第三方,直接把这个应用提供给我,不用买服务器,不用终端,直接买服务。为什么第三方愿意做呢?因为通过服务他可以有收入。
第三个突破是相关资产边界的突破,就是企业内部IT对资产的概念、边界模糊了。现在很多东西不是你所拥有,你真正拥有的是里面的信息和数据。所以云计算也好,社交网络也好,移动互联网也好,确实给移动信息带来了很大的推动,但对安全挑战也非常巨大,几乎是颠覆性的。
云计算带来的另一个安全挑战,是对用户数据中心的挑战:数据中心网络设计的扁平化和高速化,逐渐从传统多层数据中心网络向平面网络架构过渡,平面网络架构使用基于数据流、非拦截、最短路径结构来最大限度地提升网络性能;相对于传统数据中心,云化的数据中心内部之间的流量将会大大增加。云数据中心内部系统的虚拟化将引发新的安全问题,同时,访问数据中心的客户端设备具有移动化趋势。此外,云化的数据中心和高速的Internet出口带宽也会被黑客利用作为攻击跳板,从而可能会给用户带来新的互联网边界责任风险,这就要求用户对云化的数据中心外发的数据流量也要进行严格的入侵分析和过滤。
过去,网络信息的监控可以用网管设备来满足,在虚拟化时代,同一个主机上的虚拟系统互相访问则不会经过这些过时的网管设备。再有,传统物理时代能够用“拔网线”这样的手段立即中止网络形式的病毒爆发,在虚拟化时代这样的策略已经是不符合新的系统形态。而且边界式的保垒式防护在云计算时代也随着边界定义模糊、消失而不再适用。
综合来讲,数据的集中、系统的虚拟化、业务应用的物理分布、访问端点的移动化和消费化,等等趋势,无一不对用户的安全建设提出了更高的要求,同时也对传统的安全理念发起了挑战。
云安全,有哪些防护重点?
云计算带来了诸多新的安全挑战,作为安全厂商,防护重点是什么呢?
在保护云计算环境的安全性方面,也就是“云计算安全”方面,有很多技术工具和产品可以沿用以前的技术手段。但是由于云计算环境引入的一些技术因素和地理因素,导致用户对安全产品的选择需要具有新的标准。云计算环境中会导致一些传统的安全产品不再有效。这里容易忽略的是,新技术对旧技术的向下兼容不足以代表无需在新技术上调整,或生根地步的优化。对于新技术应采用结构性的“集成”,而非应用性的“兼容”。
云计算广泛采用的虚拟化技术,可能会导致诸多问题:对虚拟机环境下的安全域划分需要重新定义和隔离、一个物理计算机上面可能会出现隶属于不同安全域的虚拟机、虚拟机的恶意代码防护可能会导致AV风暴、停用虚拟机再次上线可能会导致因病毒特征文件过期形成安全薄弱环节、异构虚拟化平台的统一安全管理,等等。此外,由于云计算数据中心的网络结构趋于高速化和扁平化,对于网络入侵防御设备在加载规则情况下的处理性能也提出了更高的要求。而且,由于云计算技术得到了更加广泛的关注和推广,企业应用日趋迁移到云计算数据中心中,导致企业用户在企业内部网络和位于Internet上的云数据中心之间的业务交换日渐频繁,因此,如何有效地保证数据交换服务的安全性,比如XML的安全性、身份认证、授权等,将是安全领域研究者和安全厂商面临的新的安全问题。
“云安全智能”主要体现在安全厂商如何利用云的技术增强自身的产品对新出现的威胁的响应能力。由于混合型威胁的快速演变,以及APT(高级持续性威胁)的日益盛行,只有对安全威胁的各种向量都能够全局了解才有可能做出合理的响应。为此,有知名的安全厂商对IT部门提出了如下要求:
采取主动态度。企业IT部门在迈入云计算环境时需要采取一种更为主动的态度。当前更多的IT组织都在采取循序渐进、有条不紊的保守方式部署云计算。此外,IT负责人应把握好对安全性、可用性和成本等重要问题的控制,做到这一点需要事先对IT员工进行适当的培训和准备工作。
设置信息和应用层。并非所有的信息和应用都是在同一层面上创建的。进行分析并将信息和应用放置在各个层次,才能确定哪些能优先进入云环境。
评估风险并合理设置政策。确保关键信息只能被授权用户访问,且不得将关键信息带出公司。同时,确保云服务提供商能满足企业合规性的要求。最后,对潜在云服务供应商的运作能力进行评估,例如高可用性和灾难恢复能力。
立即开始行动。云计算的实现并非是一步到位的工作,充分利用云服务是迈入云环境的一个简单的开始。尽管转移业务关键应用的准备可能需要一些时间,但可以先从比较简单的应用和服务开始部署。
新的起跑线,安全厂商如何占据高点?
云计算给安全厂商带来了新的机遇和挑战。面对产业变化,安全厂商们将怎样迎接挑战?怎样抓住新的机遇?
赛门铁克的安全专家给出了他们的看法:安全厂商要在新一轮竞争中赢得制高点,必须具备三点,第一要有新的思路,第二要有新的保护手段,第三要工具化。没有威胁就谈不上安全,对威胁的产生厂商要有及时的敏感预警,能够迅速捕捉到新威胁的动态,以及具体是哪些新的威胁。目前智能还是一种知识,还需要变成智能,对知识要及时加工,把它变成一种产品和技术,使得能够帮助用户快速地更新防御体系中的能力,去识别、去应对、去预警这样的威胁。对安全厂商而言,一方面的能力是快速获取情报,另一方面必须快速地智能提升防御体系产生反应。此外还要有新思路,如SaaS类似于把安全智能变成云服务的客户,因为客户很难能及时更新他的知识库,但是专业的云服务提供商构建这样一个智能体系是比较容易的,即把知识变成产品和服务的体系。
很多人将云计算理解为信息安全厂商的一个新的起跑线,云计算的兴起给信息安全产业带来了新机遇,也带来了很大的挑战。很多传统的安全防护思路会随着云计算信息系统体系结构和应用的变化作出调整和改变,云计算体系复杂,要解决的问题更多,因而对安全而言发展空间会更多,但若安全企业固守原有的技术和模式,终将被淘汰。只有那些能够发挥原有优势,并勇于进行创新的企业,才有可能挖掘云计算时代新的安全需求并开发出相应的解决方案,最终在这个新时代占据信息安全产业新的制高点。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:云安全带给边界突破的新挑战
相关文章
