云計算安全剛剛起步需要保護

　　我看到過很多安全廠商所提出的云計算解決方案，以此為基礎(chǔ)，我嘗試著對云計算安全給出一個個人說法。我認為，目前，狹義的云計算安全包含三個核心技術(shù)方向，分別是訪問控制、數(shù)據(jù)加密和對虛擬機的安全防護手段。而廣義的云計算安全則包括云服務(wù)提供商所采取的各種網(wǎng)絡(luò)安全措施，例如防DDoS攻擊技術(shù)。

　　訪問控制：確認用戶身份

　　已經(jīng)有云計算服務(wù)提供商利用訪問控制來增強云計算的安全性。

　　PivotLink公司提供基于云的、按使用付費的商業(yè)智能服務(wù)。它與Novell合作并對后者的云安全服務(wù)進行了beta測試。

　　PivotLink負責開發(fā)的高級副總裁BobKemper說：“我們從插入在客戶的服務(wù)中的Novell服務(wù)獲得認證功能。目前我們使用身份管理和他們的認證服務(wù)來管理安全水平。Novell與所需的企業(yè)系統(tǒng)進行集成來提供對信息的訪問。”

　　PivotLink的許多客戶是各公司的零售經(jīng)理。在使用Novell的云安全服務(wù)時，這些客戶不必使用運行在企業(yè)內(nèi)部的Novell軟件，只要使用任意LDAP或ActiveDirectory基礎(chǔ)設(shè)施就行。

　　這種基于云的服務(wù)使用基于SAML的認證。與Novell合作進行beta測試的協(xié)議允許客戶可以自動刪除離職的商店經(jīng)理的賬戶并給新上任的經(jīng)理自動添加授權(quán)使其能夠使用PivotLink的服務(wù)。

　　Kemper說：“我們的客戶表示需要某種形式的管控和審計。則使得他們對把敏感數(shù)據(jù)上載到云中感到更放心。

　　Novell云安全業(yè)務(wù)部總經(jīng)理DiptoChakravarty說，Novell與許多軟件服務(wù)化、托管提供商進行接觸，了解他們對與Novell在基于云的安全服務(wù)方面開展合作的興趣。

　　有一種設(shè)想是，Novell必須起到技術(shù)協(xié)議“中立國”的作用，支持SAML1.1、SAML2、WS-Fed、InfoCard和OpenID以及企業(yè)端的Shibboleth。Chakravarty表示，Novell云安全服務(wù)是真正的多客戶托管安全解決方案，它可以由SaaS的托管服務(wù)商托管，或由Novell的合作伙伴托管。

　　EMC信息安全事業(yè)部RSA首席技術(shù)官BretHartma表示，專業(yè)的安全廠商可以滿足云計算服務(wù)提供商三個方面的安全需求：

　　第一方面，保護云服務(wù)提供商免受外來攻擊。

　　第二方面，滿足云計算環(huán)境中不同租戶之間的數(shù)據(jù)獨立性。在一個云環(huán)境中通常會有兩個以上的租戶，他們之間的數(shù)據(jù)不能互相干擾。而且在未經(jīng)授權(quán)的情況下，一個用戶不能訪問另外一個用戶的數(shù)據(jù)。

　　第三方面，確保云服務(wù)提供商自身平臺安全，比如訪問控制、身份認證等基礎(chǔ)性的要求。只有滿足這三方面的需求，企業(yè)才能非常放心地將他們的應(yīng)用轉(zhuǎn)移到云平臺上。

　　加密：保證數(shù)據(jù)自身安全

　　企業(yè)通常在網(wǎng)絡(luò)的邊界部署安全設(shè)備，用來拒絕外部非授權(quán)用戶的訪問。然而在虛擬化環(huán)境中，虛擬IT服務(wù)不存在物理邊界。于是，企業(yè)必須假設(shè)所有傳輸?shù)臄?shù)據(jù)都有潛在的被攔截風(fēng)險。

　　沒有了物理控制，就必須依靠其他加固原理來限制對信息的訪問。信息的加密是其中最重要的方法，它可以限制對有用信息的訪問，這種限制甚至超過了對物理系統(tǒng)的保護級別。所以，加密成為了保證云服務(wù)安全性的關(guān)鍵性部分。

　　賽門鐵克資深信息安全顧問林育民表示，在保護云端的數(shù)據(jù)安全方面，賽門鐵克正在研發(fā)新的用戶密鑰管理技術(shù)，來保護用戶數(shù)據(jù)的安全。

　　趨勢科技執(zhí)行副總裁暨中國區(qū)總經(jīng)理張偉欽認為，如果企業(yè)把數(shù)據(jù)放到云服務(wù)提供商那里，數(shù)據(jù)的加密和解密就很重要。密鑰一定要在企業(yè)自己的口袋里，別人只要沒有密鑰，就不能看到數(shù)據(jù)。需要注意的是，鑰匙一定不要放在IT部門，而且資料的保存者和鑰匙的擁有者一定要分開。

　　虛擬機防護：傳統(tǒng)安全釋放新活力

　　在保護云計算環(huán)境的安全方面，一些國外的安全廠商，例如StillSecure和AlertLogic，已經(jīng)開始提供入侵檢測、入侵防御服務(wù)，保護云服務(wù)提供商那里的基于虛擬機的服務(wù)器。

　　為醫(yī)院和醫(yī)療保健機構(gòu)提供病歷管理的AutomatedDocumentSolutions(ADS)公司IT主管MikeCrews表示，ADS使用Host.net作為云提供商。當幾個月前Host.net開始與StillSecure合作提供IDS/IPS服務(wù)時，ADS訂購了服務(wù)，享受這類全天候監(jiān)測的好處。

　　Crews說：“ADS很難自己部署這類功能，因為StillSecure這樣的安全專家才能做好此類事情。”Crews說到目前為止，StillSecure提供的這項安全服務(wù)運行的很好。StillSecure擁有自己的網(wǎng)絡(luò)運營中心，這個運營中心監(jiān)測運行在Host.net那里的ADS虛擬機上的情況。服務(wù)的費用為每10臺虛擬機每月支付250美元。ADS認為這樣的費用是可以承受的。

　　另一家云基礎(chǔ)設(shè)施提供商——iland公司CTOJustinGiardina說，iland在一年多以前便開始通過安全公司AlertLogic在其數(shù)據(jù)中心提供IDS/IPS監(jiān)測服務(wù)。

　　iland的每家云客戶通常會得到基于VMware虛擬機的虛擬LAN分段、防火墻保護。另外，客戶還可以選擇讓AlertLogic從自己的網(wǎng)絡(luò)運營中心監(jiān)測這些虛擬機。

　　AlertLogic的監(jiān)測使用基于主機的軟件，該軟件運行在管理程序級。AlertLogicIDS/IPS服務(wù)可以被配置為通過觸發(fā)CiscoASA防火墻(例如檢測到問題)的自動響應(yīng)來自動保護某個網(wǎng)段。

　　有不到四分之一的iland客戶使用這個AlertLogic服務(wù)。雖然AlertLogic負責對虛擬機的24X7監(jiān)測，并且與客戶建立直接的關(guān)系，但是如果發(fā)生安全事件，iland也可能會牽扯進來。

　　Giardina說：“不是每個人都懂得打補丁的重要性。”他談到了因黑客和惡意軟件造成的服務(wù)器安全受到損害，iland有時也收到AlertLogic的通知來回應(yīng)安全事件。

　　雖然除了AlertLogic提供的安全服務(wù)外，iland當前沒有增加更多第三方安全服務(wù)的計劃，但Giardina說，iland正在研究建立基于賽門鐵克軟件的病毒掃描和防護服務(wù)的可能性。賽門鐵克的新軟件將利用基于VMware的VMsafeAPI實現(xiàn)管理程序級的監(jiān)測功能。

　　雖然沒有在中國進行重點宣傳，但是在保護云計算安全方面，領(lǐng)先的安全廠商都有自己的計劃和產(chǎn)品。

　　CheckPoint中國區(qū)總經(jīng)理劉偉表示，VPN-1PowerVSX是專門為基礎(chǔ)設(shè)施整合而設(shè)計的虛擬化安全網(wǎng)關(guān)，對協(xié)助企業(yè)加強對云計算等一類虛擬化環(huán)境的安全控制有幫助。對于云服務(wù)供應(yīng)商而言，VSX可以輕而易舉地協(xié)助他們提供新的安全服務(wù)，因此是發(fā)掘新收入來源的理想平臺。這些新安全服務(wù)包括增值虛擬化內(nèi)容過濾、VPN、網(wǎng)絡(luò)分區(qū)及防火墻服務(wù)。

　　在今年的RSA安全大會上，SonicWALL推出了兩款安全虛擬設(shè)備——全球管理系統(tǒng)虛擬設(shè)備與ViewPoint虛擬設(shè)備。SonicWALL產(chǎn)品管理副總裁PatrickSweeney說：“企業(yè)部署的虛擬設(shè)備需要能夠提供關(guān)鍵的安全性能并有助于提高工作效率，才能充分發(fā)揮設(shè)備優(yōu)化、更低成本、數(shù)據(jù)中心容量充分利用以及云計算基礎(chǔ)設(shè)施的優(yōu)勢。SonicWALL最新推出的產(chǎn)品可幫助大中型企業(yè)在虛擬化環(huán)境中開發(fā)可擴展的安全解決方案。”

　　趨勢科技在收購ThirdBrigade后，經(jīng)過一年多的整合和聯(lián)合開發(fā)，推出了面向云計算架構(gòu)虛擬服務(wù)器保護的DeepSecurity7.0新產(chǎn)品。據(jù)張偉欽介紹，作為一款全新的保護虛擬化服務(wù)器的安全解決方案，DeepSecurity7.0將云計算環(huán)境中的全部服務(wù)器納入保護范圍，包括操作系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用程序等，不論用戶使用的是何種運算環(huán)境、虛擬化平臺或儲存系統(tǒng)，它都能提供優(yōu)異而完整的安全保護。

　　DeepSecurity7.0的主要特色包括：在云端服務(wù)器中設(shè)置一套防護模式，預(yù)防信息的外泄與中斷;降低虛擬環(huán)境和云計算環(huán)境的安全管理成本;協(xié)助實現(xiàn)各種法規(guī)與標準的遵從要求，例如PCI、HIPAA等;為云計算數(shù)據(jù)中心解決各種黑客攻擊問題，如SQL注入攻擊、跨站攻擊等。

　　云計算的絆腳石

　　云計算描繪了一幅美妙的未來圖景。然而，企業(yè)們發(fā)現(xiàn)通向美好愿景的是一條艱辛之路，數(shù)據(jù)保護和虛擬環(huán)境中的風(fēng)險管理讓人望而卻步。毋庸置疑，安全問題已經(jīng)成為了阻礙云計算發(fā)展的最大“絆腳石”。

　　在2010年RSA大會上，RSA總裁科維洛表示，“有些事情阻礙了云這一愿景的充分實現(xiàn)。簡單地說，那就是安全。據(jù)調(diào)查，有51%的首席信息官認為安全是云計算最大的顧慮。安全沒有跟上云計算的步伐。”

　　云安全聯(lián)盟所做的調(diào)查研究指出，業(yè)在選擇云服務(wù)時面臨著惡意攻擊和數(shù)據(jù)意外丟失的雙重危險。最關(guān)鍵的問題是應(yīng)用程序編程接口(API)開發(fā)工具十分脆弱。研究人員表示，企業(yè)將眾多的其他服務(wù)捆綁到一個云計算應(yīng)用程序上，無形中使得自己暴露出了最薄弱、最易受攻擊的環(huán)節(jié)，其中任意一個服務(wù)受到損害，將會導(dǎo)致所有連接的其他應(yīng)用程序遭到攻擊。

　　另外，根據(jù)獨立研究與產(chǎn)業(yè)分析報告顯示，虛擬化后的企業(yè)數(shù)據(jù)中心的安全狀況令人擔憂，盡管95%的數(shù)據(jù)中心在2009年都已采用了虛擬化技術(shù)，然而生產(chǎn)環(huán)境中的虛擬機器有60%以上比物理主機更缺乏安全防護。更糟糕的是，虛擬化為云計算提供了很好的底層技術(shù)平臺，這些被虛擬化的設(shè)備和存儲空間，大多已經(jīng)成為云中的重要成員。

　　由于云計算是一個開放的環(huán)境，沒有清晰定義的網(wǎng)絡(luò)邊界，云端部署的應(yīng)用程序與操作系統(tǒng)受到攻擊的可能性就會很大，很多計算資源今后都會面臨更多的風(fēng)險，安全形勢會變得越來越嚴峻。所以，盡管安全廠商已經(jīng)做出了很大的努力，但還需要讓云計算的安全性變得更好。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]