为什么要说这样的话?联盟中国区高峰论坛上一位嘉宾说,“水壶烧出的水汽绝对不是云”。那么云安全的问题,也就需要整个产业,就云安全达成共识。云是和大规模不断发展的必然产物。在未来10年里,云必将成为影响整个IT行业的关键性技术,也会对现有的信息技术体系架构带来了深远的影响,云安全也随之成为一个重要问题。
是什么?
提到云安全,不能不说云计算。早在2000年的时候,国际上已经有人提出网格计算与分布式计算的概念,随着信息产业及市场的日益成熟,这个概念经过商业化运作,有了初步的框架,进而形成了云计算的雏形。绿盟科技副总裁吴云坤表示,云计算并不是新东西,它所改变的只是运营方式、用户交互方式以及营销方式等,可以说这是一种新的商业模式。正是这样的转变,让各个领域、各个行业的厂商及,会根据业务及市场的特性,就云计算的定义提出各自的观点。
Frost & Sullivan市场研究机构提出,云计算是一种灵活的、可扩展的共享环境,第三方供应商利用技术,基于按需提供的平台,通过互联网向客户提供及分配计算资源。国际云安全联盟,在征询国际业界广泛的意见和实践经验后,指出云计算应该包含如下方面:
o 按需供应,必须是密切结合业务需求,按照需求提供资源及服务
o 弹性,随业务拓展可以灵活的调整及拓展架构
o 多层租用,根据不同业务,不同受众,可以提供不同资源、不同形式的租用服务
o 云包含如下特征:
基础架构即服务Infrastructure as a Service (IaaS),包含基本的IT架构,比如,比如存储
平台即服务Platform as a Service (PaaS),包含IaaS以及快速应用设备
软件即服务Software as a Service (),包含所有的应用程序
共有云,私有云,社区以及混合云部署
下面这张图,对云给出了一个可视化的呈现,说明了云计算的服务交付模式,以及如何部署云。
图1 云计算架构
云安全产业
云计算所带来的深远影响,让绿盟科技以及安全业界的先行者们清晰的认识到,云计算所面临的挑战。IDC市场调研机构数据显示,云计算服务将在2013年达到整体IT消费的10%,年收益高达442亿美元,5年内年平均增长是26%,这是传统IT行业增长速度的6倍。而Frost & Sullivan市场研究机构,在2009年年末,对亚太区6个市场,300个大型企业,500人以上的大型企业他们的IT决策人做了一项云计算的调查。调查数据显示,55.3%的人担忧云安全问题,尤其是数据安全性。毫无疑问,云计算的蓬勃发展,已经让云安全已经上升到产业的高度。
云安全产业链条,包括了云安全环境,云安全设计,云安全部署,云安全交付,云安全管理,再到云安全咨询,这是一个闭环。IDC 报告指出,云安全性包含至少两个层次,一是制约用户接受云计算的信用环境问题,这是云计算得以广泛应用的基础,也是推广门槛,然后才是云计算的应用安全。而其中良好的信用环境是技术层面的云计算安全之基础,也就是说,只有用户认可并采用云服务,才谈得上的云安全技术问题。
那么就云计算的信用环境来说,一方面是云计算提供商方面要树立自身的信誉,构造可信的云;另一方面是云商方面,要对互联网资源建立安全信誉评估系统,以对抗云攻击的“地下产业链”。这方面,和StopBadware走在了前面,随后国内安全业界的厂商也认识到这一点,纷纷采取了相应的措施。2009年,绿盟科技发布互联网信誉服务白皮书,并提供信誉评估服务。根据多年的安全研究积累,绿盟科技对互联网相关资源进行威胁分析和信誉评级,累积IP地址、和URL等不同资源的内容和行为记录。同时,汇集了来自于授权客户和第三方合作伙伴的威胁反馈、自身安全产品的安全事件以及安全研究团队的风险预警,与目标站点的历史信息进行整合,建立针对互联网领域的长期信誉追踪机制。正是这样的积累,让绿盟科技在2010年8月,正式与StopBadware达成战略合作,继Google之后,成为其数据提供商。
而就云安全技术方面来说,云安全主要面临这些挑战:
o 云计算的滥用、恶用、拒绝服务攻击
o 不安全的接口和API
o 恶意的内部攻击
o 共享技术产生的问题
o 数据泄漏
o 账号和服务劫持
o 未知的风险场景
云安全如何定义
面对这些挑战,我们应该从哪些层面入手,才能实现安全云呢?从IT架构管理来看,企业敏感数据,尤其是涉密企业,出于安全性考虑,目前还会以私有云为主,在未来的一段时间,才会逐步过渡到共有云;从产业和市场发展,云安全还处在初级阶段,从未有一个厂家的产品可以囊括云安全所有层面,也未能提出一个完整的解决。
要对云安全有一个全面的认知,必须认识到云安全是动态的,是不断演变的。云安全解决方案必须与应用及服务充分结合,并适应业务的发展需求。云安全联盟提出,应该从治理和运营两个方面入手:
云安全治理:
o Best opportunity to cloud engagement is before procurement – contracts, SLAs, architecture
o Know provider’s third parties, BCP/DR, financial viability, employee vetting
o Knowing where your data is
o Plan for provider termination & return of assets
o Preserve right to audit
o Reinvest provider cost savings into due diligence
云安全运营:
o Encrypt data when possible, segregate key mgt from cloud provider
o Adapt secure software development lifecycle
o Understand provider’s patching, provisioning, protection
o Logging, data exfiltration, granular customer segregation
o Hardened VM images
o Assess provider IdM integration, e.g. SAML, OpenID
如何做到云安全
那么用户该如何选择云安全服务,又怎么才能做到云安全? 国际云安全联盟发布的云安全指南指出,云安全要覆盖云安全完整的生命周期,并完成最佳实践以及分析工具。在云安全完整的生命周期中,理想的云安全状态至少应该包括安全治理、识别、访问控制、数据保护以及审核,最终实现安全即服务(Security as a Service)。
要实现这些,云安全治理及运营至少应该包含13个领域,包括:
而云安全分析工具,要区分用户及供应商角色,并完全遵从于 27001, COBIT, PCI, HIPAA等国际标准,从而弥补管理者及云安全审核之间的差距。云安全联盟为此提供了云安全控制矩阵工具,请访问Cloud Security Alliance官方主页。
正是遵循这样的云安全治理与运营原则,绿盟科技作为中国安全业的领先者,多年来始终致力于网络安全的研究,并一直积极推动国内云安全的发展。2008年,绿盟科技宣布正式启动云安全计划,成为国内第一家进入云计算和云安全领域的网络安全厂商。云安全计划中包含具备多种能力类型的安全云,目的是通过对互联网进行大规模集中分析和汇总,在全球范围内大规模部署中心群,覆盖防御、漏洞扫描、挂马防范、流量清洗等方面,全面检测恶意网站与异常流量,提供了在大范围网络环境下解决云安全问题的全新思路,这种模式已经在多个运营商骨干网和城域网得到了广泛的部署。
2009年12月,绿盟科技成为国际云安全联盟在亚太地区的第1个企业成员,并为推动云安全本地化工作不懈努力。同年,云安全计划持续完善,推出包括内容安全监管、异常行为审计、应用安全交付等多种计算能力的云模式。2010年9月2日,云安全联盟中国区分会宣布成立。
云安全的实质是什么?
面对庞大的,要提供安全云服务,靠单打独斗是不行的。在经历了云计算纷争的年代之后,日益复杂的应用,云安全整体解决方案的需求,以及市场发展的磨合,都让安全企业认识到,云安全必须产业化,形成一个产业链条。而实现它的前提,就是必须找到一种方式,让大家走到一起来,通过一系列沟通,描绘一个共同的愿景,解决一些分歧,推动一些项目,交付一些成果,才能稳固云安全的“短板”,推动本地市场云安全产业的发展。另一方面,中国乃至亚太区的云安全形态及发展,对于国际云安全产业不可或缺,而国际规范只有适应本地的、大规模市场后,产生有效的分析工具及方法,才具有实际意义。
云安全的实质在于沟通协作,沟通协作需要平台。随着市场经济关系深化发展,以及社会分工在市场领域细化,必然会产生云安全的联盟组织,它的完善与否是市场体系成熟与否的一个重要标志。在这样的背景下,国际云安全联盟CSA(Cloud Security Alliance)于2009年RSA大会上宣布成立,是一个非盈利性组织。成立后,获得了业界的广泛认可,与ISACA、OWASP等业界组织建立了合作关系,很多国际领袖公司成为其企业成员。
国际云安全联盟于2010年,首次在中国举办峰会,以“沟通分享,合作共赢”为主题,号召亚太区安全业界的参与,其意义就在这里。在本次峰会上,中国区分会正式成立,CSA主席Dave Cullinane以及国际安全界同行,纷纷到场或以各种形式表示祝贺。绿盟科技副总裁吴云坤先生表示,云安全的问题已经让大家达成共识。
多年来,绿盟科技始终致力于国内网络安全方面的研究,积累了大量的数据,我们愿意并正在与各方面展开积极的合作,分享数据和经验。绿盟科技首席战略官赵粮博士也提到,“在未来的12个月中,国际云安全联盟中国区分会,将会推动一些列云安全方面的项目,并提交项目成果,还会积极开展地区性的云安全技术交流研讨活动”。正是安全业界各知名企业的积极参与,让云安全联盟在亚太区安全业界中引起了强烈的反响。
云安全产业的契机
毫无疑问,云安全产业链中的先行者们,将会在市场发展中,占据及其重要的地位,而这一点,甚至能够左右企业未来的发展,这也是为什么云安全联盟一经发起,几乎所有与云安全产业相关的企业,纷纷加入。在不到2年时间里,已经有超过50个国际领袖级公司成为其企业成员,包括Google、、、、MS、、Novell、AT&T、CA、McAfee、TREND、Symantec、NSFOCUS、3PAR等。
而在之前,国内尚未具有影响力的云安全联盟组织,随着云计算的不断发展和演变,国内各个厂商及研究机构对于云计算、云安全都有自己的独特见解,这些观点都代表了各个领域的发展特性。另一方面,来自国际信息安全方面的规范,也不能完全适应国内云安全发展的各个层面及特性。可以看到,国内云安全尚处于初级阶段,而每个厂商或者企业的技术力量,都是有限的,不可能涵盖云安全产业链的所有层面。国际云安全联盟中国区分会的成立,对中国和亚太地区推动云安全的实践和创新,构建中国乃至亚太地区云安全产业的理论指引,发掘及云安全产业中的契机,具有及其重要的价值。