安恒：雲環境的安全挑戰及防護

2013年5月16日第十四屆中國資訊安全大會在京召開，本屆大會的主題是「資訊安全新機遇——大資料，BYOD，SDN，雲安全」。 杭州安恒資訊技術有限公司安全服務部總監劉志樂講解了雲環境的安全挑戰及防護。

劉志樂：各位專家，各位領導早上好，很榮幸今天在這邊跟大家一起交流雲環境的安全挑戰與防護。 因為現在雲整個談的非常熱，我今天分享只是我們公司對這一塊看法和研究，我本人目前還有一個身份，我現在是安全服務部總監，也在國內外一些安全會議上發表過一些演講。

雲計算這一塊本身這只是作為一個介紹，前面已經有很多嘉賓做了詳細闡述，這個章節我也不會多說多少，主要基於互聯網的相關服務的增加，去把過去的傳統的進行一些虛擬化，主要的目的也是把過去各個分裂的資源資料， 然後我們怎麼樣通過雲的模式，形成一個更集中的，更好的服務。

實際上雲計算目前這一塊比較主流的微軟、IBM等等，最終我們總結下來，無非就是說有三種模式，IAAS，PAAS，還有SAAS，這三種方式。 雲計算的資料中心主要就是說，未來比如說華為現在提出來的分步式資料中心DC2，簡單說一些雲，我們在雲安全方面面臨著一些什麼樣的挑戰呢？ 在IAAS這裡面是大量的基礎的設施，然後通過虛擬化。 但是這裡面就會有一個問題，虛擬化的安全就會產生，然後引用了安全也會發生，所以說我們在虛擬化安全機制和分散式的系統控制上，對我們產生了一個挑戰。

在PAAS這個模式下，應用它安全就無數不在，開放的介面，對介面的安全又提出了一些新的要求。 所以說納入平臺安全以後，並注重介面的安全和進行代碼的審計是在PAAS這個階段對我們提出來的一個挑戰。 到了最高的，目前最高的境界，SAAS這個階段，軟體及服務，這個時候實際上是面向的應用層，給大家提供更好的應用環境，這樣的話應用安全也是時刻的存在著，對於他後臺的資料安全也提出了更高的一些要求， 這是我們在SAAS面臨的一些挑戰。

談到雲計算，就談到大資料，雲計算的集中使得資料變得較以往更加的集中，而面臨更多的一些挑戰。 所以說資料安全對於我們又提出了更高的一些要求，針對關鍵的資料如何去防止洩露，怎麼樣進行一個全方位的保護，這是我們在大資料這個時代所面臨的一個挑戰。

針對所有的雲的幾個階段，我們有看到應用安全始終還是貫穿每一個層面，資料的集中，應用安全的無處不在，以及虛擬化的安全的挑戰，快速的反應等等，這些都是我們所總結的雲計算我們所發出來的安全的挑戰。 針對這些安全的挑戰，作為我們安恒自身在應用安全和資料庫安全有著多年的積累，我們也很早就開始對雲計算的安全做了一些研究。 我們的解決方案主要是在實現對雲安全的一些可視，可控，可審計，以及對於雲計算資料中心的審計方面為核心，然後為廣大客戶提供一個專業的安全產品和服務，並説明降低客戶面臨的一些風險，加速雲計算的普及。

我們也設計了一個安全的體系，通過策略體系，組織體系，然後技術體系，還有一些安全的運行體系，來實現體系上。 在技術層面我們通過基礎的一些支撐層，通過一些基礎支撐保障與控制，然後在基礎的網路層，通過網路核心的安全的保障，然後在邊界的接入層，通過邊界的保障和控制，在應用層通過應用系統和優化，在資料層通過邊界安全的保障與控制， 來通過所有的這些技術手段，來去實現。

最後在運維服務層，我們通過一些運維的手段，這是我們整個安全性原則的一個模型。 對於應用安全來講，我們主要通過事前，在事前的安全威脅發生之前，通過應用的掃描工具，資料庫的掃描工具，包括原始程式碼的審計，QA測試，安全工具，對你的應用系統進行全方位的安全檢測來進行結合人工的滲透技術， 來發現你的系統可能存在的一些安全風險，來驗證並且分析對你的提出威脅的弱點，然後進行一些安全的加固，然後對比在事前能夠解決你的安全的隱患。

事中，你在已經發生的安全事件以後，我們怎麼樣迅速的提供一個應急回應措施，以最快的速度來恢復你的保密性，完整性和可用性，阻止和降低對安全威脅事件帶來的嚴重的影響。

事後，我們以安全事件威脅的總結，得到控制，然後去對你的策略進行整改和完善，對你的整個系統進行全方位的防護。

在傳統的應用安全的話，我們是通過邊界的安全，比如說通過防火牆，應用防火牆來實現的。 但是對於雲環境下，這個時候對我們就提出來一個挑戰，因為大家都知道雲環境下，你的一些硬體設備，你沒有地方給你接入，也沒有地方給你去放，你也沒有辦法進行保護。 這種情況下本身虛擬機器之間存在著一些存取控制的問題，如何保障這些虛擬機器的安全，實際上我們就提出來一個虛擬化的安全的理念。 我們通過把傳統的硬體防護的產品實現它的虛擬化，然後在雲環境裡面和其他的虛擬的環境同時存在，但是它的作用就是像過去的物理的防護產品一樣，來達到對虛擬環境下的應用，來實現防護。

過去我們在應用層和作業系統，比如說過去有一個網路層，上面會有一個閘道。 我們通過虛擬化的閘道，來實現整個架構上面的一些安全問題，這是我們畫的一個示意圖。 對於雲計算的資料中心，我們主要是要怎麼樣使得他的風險集中，正因為風險集中，我們怎麼樣快速的反應，這樣時候要有一個優秀的系統。 在雲計算的CSA的安全指南當中也說到了這種是必須有的，所以說我們基於這個有了一個雲計算，通過這個集中安全事件管理，來掌握你的全域的安全動態，然後並實現敏捷的應對。

對於資料中心的防洩露，我們通過資料庫審計，資料庫弱點掃描，WEB弱點掃描，來實現對過去針對過去產品防洩露。 在雲環境下面怎麼樣通過雲的安全服務來實現雲計算與雲安全。 我們提出來的是幾個方面，一個是通過雲監測，雲審計，雲防護，還有安全服務。 前面也有專家說到了，未來可能在雲的大資料時代，安全即服務，所以我們也看到這一塊。

雲監控就是說，通過雲這種自動化的雲的部署，然後對雲裡的應用系統是不是有木馬，你有沒有漏洞，有沒有篡改，你的網頁是不是被人家掛上了一些敏感的關鍵字。 所以說我們通過這種訪問，是不是具有實效性，即時可用性。 我們安恒推出了基於SAAS的安全的監測平臺，通過漏洞掃描，篡改監測，木馬監測可用性，敏感詞來實現你的7×24小時，對於你的應用系統提供集中的統一的安全監控。

雲防護的話，就是說針對雲環境下面，我們通過虛擬化的技術來實現過去，比如說這種對於應用防護的防止住你的各種的，比如說應用層上面的注入等等這些高危的漏洞。

針對雲防護和傳統的防護手段，我們可以在管理方式上，可以比過去有更加的靈活性，實際上主要就是通過這些方式，我們來實現對你幾大方面，比如說你的帳戶管理方面，身份認證方面，你的資源授權，還有存取控制，操作審計等等，這是雲防護。 通過雲審計可以對你的內部使用者是否合法的許可權濫用，然後對你的合作夥伴是不是存在著合法的許可權濫用，你的資料庫軟體的自身是不是存在著一些平臺的漏洞或者說其他方面的一些漏洞，以及你的應用程式，跟你的資料庫之間是不是有漏洞， 通過這些來實現一個細力度的審計，這樣通過我們所說的什麼時間，什麼人做了什麼操作，做了多少次，他怎麼樣做了一些違規的行為等等，通過這樣的話實現一個全方位的資料的審計。

最後談一下安全服務，你有了前面所有的一些技術、產品的保障，最終還是需要通過一個專家型的安全服務，通過設備和人工相結合的模式來去最終對你的雲的環境下的安全，去獲得一個比較全面的保障。 雲環境下面的安全服務，首先包括一些漏洞的檢測，漏洞的一些掃描，也包括一些類比的滲透測試攻擊來去發現你的整個的脆弱性。

我要講的就是這些，因為時間到中午了，大家可能也比較餓了，我今天講的也比較快。 謝謝大家。