撥開(kāi)云計(jì)算安全的迷霧
目前的IT界已經(jīng)到了言必稱云計(jì)算的程度了,但是疑惑的大多數(shù)(尤其是IT用戶)依舊對(duì)此持有疑慮,通常認(rèn)為還沒(méi)有到使用云計(jì)算的時(shí)候。為什么還沒(méi)到時(shí)候?因?yàn)榘踩,因(yàn)槟壳暗腎T產(chǎn)品基本還能解決企業(yè)用戶現(xiàn)有的問(wèn)題,因?yàn)橛脩粜枰吹皆朴?jì)算成熟的應(yīng)用案例……
但是關(guān)鍵就在于,云計(jì)算是一種比起傳統(tǒng)IT架構(gòu)來(lái)說(shuō),更優(yōu)的解決方案。打個(gè)比喻就是說(shuō),當(dāng)你可以在自己家里打開(kāi)水龍頭就能獲得自己需要的水時(shí),你基本不會(huì)愿意去尋思如何在院子里打井取水。這種隨需索取、按需付費(fèi),無(wú)需前期投入大量基礎(chǔ)設(shè)施資源的優(yōu)勢(shì)正是云計(jì)算在業(yè)內(nèi)廣為推崇的根本原因。因此,企業(yè)客戶已有的IT產(chǎn)品不是阻礙企業(yè)應(yīng)用云計(jì)算的必然阻礙。而企業(yè)都是希望獲得市場(chǎng)先機(jī)的,節(jié)約成本、降低復(fù)雜性對(duì)于企業(yè)來(lái)說(shuō)就是獲得市場(chǎng)先機(jī)的方法之一,云計(jì)算正是能夠幫助企業(yè)獲得先機(jī)的一種技術(shù)。因此,對(duì)于企業(yè)來(lái)說(shuō)恰恰需要先于競(jìng)爭(zhēng)對(duì)手采用最新的技術(shù),而不是完全等待別人都已經(jīng)使用之后才進(jìn)入。所以,安全才是云計(jì)算普及最大的阻礙。
包括Forrester、Gartner等眾多專業(yè)調(diào)研機(jī)構(gòu)的報(bào)告都顯示用戶采用云計(jì)算的最大顧慮是云計(jì)算的安全問(wèn)題。但是,對(duì)于云計(jì)算安全的鼓顧慮在很大程度上,是對(duì)于新技術(shù)的本能的安全疑慮,那么在我們決定云計(jì)算安全是否真的有這么大的威脅之前,我們需要弄清楚,云計(jì)算的安全具體是什么樣的安全問(wèn)題?
要回答這個(gè)問(wèn)題,我們需要了解云計(jì)算安全和傳統(tǒng)IT安全的異同。實(shí)際上,兩者有很多相同之處,它們最終的目標(biāo)都是為了保護(hù)數(shù)據(jù)的完整性,保護(hù)的對(duì)象也都是計(jì)算資源、存儲(chǔ)資源和網(wǎng)絡(luò)資源,而且其采用的技術(shù)也非常類似,如傳統(tǒng)的加密解密技術(shù)、相同的安全基礎(chǔ)設(shè)施、IDS/DPI等基礎(chǔ)防護(hù)手段。
與傳統(tǒng)IT安全比較,云計(jì)算特有的安全問(wèn)題主要有三個(gè)方面。
第一是虛擬化環(huán)境下的技術(shù)及管理問(wèn)題。傳統(tǒng)的基于物理安全邊界的防護(hù)機(jī)制難以有效保護(hù)基于共享虛擬化環(huán)境下的用戶應(yīng)用及信息安全。另外就是,云計(jì)算的系統(tǒng)如此之大,而且主要是通過(guò)虛擬機(jī)進(jìn)行計(jì)算,一旦出現(xiàn)故障,如何快速定位問(wèn)題所在也是一個(gè)重大挑戰(zhàn)。
第二是云計(jì)算這種全新的服務(wù)模式將資源的所有權(quán)、管理權(quán)及使用權(quán)進(jìn)行了分離,因此用戶失去了對(duì)物理資源的直接控制,會(huì)面臨與云服務(wù)商協(xié)作的一些安全問(wèn)題(主要是信任問(wèn)題),如用戶是否會(huì)面臨云服務(wù)退出障礙,不完整和不安全的數(shù)據(jù)刪除會(huì)對(duì)用戶造成損害,此外,如何界定用戶與服務(wù)提供商的不同責(zé)任也是很大一個(gè)問(wèn)題。
第三,云計(jì)算平臺(tái)導(dǎo)致的安全問(wèn)題。云計(jì)算平臺(tái)聚集了大量用戶應(yīng)用和數(shù)據(jù)資源,更容易吸引黑客攻擊,而故障一旦發(fā)生,其影響范圍更多,后果更加嚴(yán)重。此外,其開(kāi)放性對(duì)接口的安全也提出了一些要求。另外,云計(jì)算平臺(tái)上集成了多個(gè)租戶,多租戶之間的信息資源如何進(jìn)行安全隔離、服務(wù)專業(yè)化引發(fā)的多層轉(zhuǎn)包引發(fā)的安全問(wèn)題等。
這三個(gè)問(wèn)題總的來(lái)看包括云計(jì)算安全技術(shù)的挑戰(zhàn),服務(wù)供應(yīng)商及用戶如何進(jìn)行相互協(xié)作的管理方面的挑戰(zhàn),以及其跨地域性、多租戶、虛擬化等特性帶來(lái)的政府信息安全監(jiān)管、隱私保護(hù)和司法取證等方面的挑戰(zhàn)。而這些問(wèn)題看似復(fù)雜,但都能一一化解。
在技術(shù)方面,主要是虛擬化安全、數(shù)據(jù)安全和隱私保護(hù)技術(shù),同時(shí)構(gòu)筑完整的安全防護(hù)體系。
虛擬化安全技術(shù)目前已經(jīng)比較成熟,包括趨勢(shì)科技與VMware合作共推為虛擬化架構(gòu)的無(wú)代理安全防護(hù)技術(shù),Check Point的虛擬化環(huán)境下的流量監(jiān)測(cè)等等。對(duì)于虛擬機(jī)的安全隔離、虛擬機(jī)鏡像安全管理,虛擬化環(huán)境下的通信安全,虛擬化和物理安全設(shè)備的統(tǒng)一管理和可視化都已經(jīng)有了相關(guān)的解決方案。
數(shù)據(jù)安全和隱私保護(hù)工作實(shí)際上在傳統(tǒng)的IT安全中已經(jīng)有比較成熟的安全技術(shù),諸如數(shù)據(jù)隔離,數(shù)據(jù)加密解密,身份認(rèn)證和權(quán)限管理,保障用戶信息的可用性、保密性和完整性。
在安全防護(hù)體系上,需要構(gòu)建包括底層架構(gòu)安全(通過(guò)完善、規(guī)范服務(wù)器虛擬化安全、網(wǎng)絡(luò)虛擬化安全、存儲(chǔ)安全、高可用性要求以及虛擬化安全管理相關(guān)配置要求,構(gòu)建邏輯安全邊界,保障虛擬環(huán)境安全。)、基礎(chǔ)設(shè)施安全(完善對(duì)底層資源的調(diào)度和分配機(jī)制,防止用戶對(duì)底層資源的過(guò)度占用;引入沙箱隔離技術(shù),實(shí)現(xiàn)不同應(yīng)用程序間的相互隔離)、運(yùn)營(yíng)管理安全(通過(guò)動(dòng)態(tài)的安全環(huán)境來(lái)提高他的安全性)、信息安全層面(通過(guò)數(shù)據(jù)的隔離,加密傳輸,加密存儲(chǔ)這些技術(shù)手段為用戶提供端到端的保護(hù))。
對(duì)于用戶與服務(wù)商之間相互協(xié)作的問(wèn)題,狹義上可以通過(guò)服務(wù)商定期為用戶提供安全策略自配置、定期的安全報(bào)表、主動(dòng)安全預(yù)警、安全審計(jì)等安全服務(wù),提高用戶的安全感知度。在廣義上,則需要相關(guān)云安全標(biāo)準(zhǔn)和評(píng)測(cè)體系的完善,安全標(biāo)準(zhǔn)和評(píng)測(cè)體系能夠幫助用戶與服務(wù)提供商就相關(guān)的服務(wù)水平的協(xié)議內(nèi)容達(dá)成一致。在這個(gè)方面,云安全聯(lián)盟(Cloud Security Alliance)、IEEE、IETF等眾多第三方組織將進(jìn)一步推進(jìn)這些工作。
政府機(jī)構(gòu)的信息監(jiān)管、隱私保護(hù)等相關(guān)制度的出臺(tái),將維護(hù)行業(yè)的健康持續(xù)的發(fā)展,對(duì)企圖違規(guī)操作的行為起到威懾和懲戒作用。當(dāng)然,縱觀IT技術(shù)的發(fā)展歷程,政府的相關(guān)政策通常是滯后于社會(huì)實(shí)踐應(yīng)用的,因此這一點(diǎn)并不是云計(jì)算采用最大的障礙。
經(jīng)過(guò)以上對(duì)于云計(jì)算安全問(wèn)題的梳理和解決方案的探討,我們發(fā)現(xiàn)云計(jì)算安全并不是我們想象得那般不可逾越。正如EMC公司信息安全事業(yè)部RSA執(zhí)行主席亞瑟·科維洛所說(shuō)的那樣,用戶無(wú)需過(guò)度疑慮云計(jì)算的安全技術(shù),實(shí)際上有比我們想到的多得多的安全技術(shù)能夠用于保護(hù)云計(jì)算的安全。云安全廣泛應(yīng)用的時(shí)代漸行漸近,云計(jì)算安全已不再是立在云計(jì)算應(yīng)用的一座大山,而是一塊幾方合力可以搬動(dòng)的石塊。