構築安全「雲-管-端」

通信產業報記者 逄丹 盧子月 伊佳　　在整個「雲-管-端」的架構中，最容易受到攻擊的是端。 一些使用者認為「雲」不安全而抗拒使用，其實往往是使用者自身對安全重視程度不高，導致帳戶密碼被竊，從而帶來相應的安全危險。　　《通信產業報》(網)：雲計算在給人們的生活帶來便利的同時，也帶來了很多資訊安全方面的挑戰。 您認為雲計算面臨哪幾方面的安全問題？　　林育民：雲計算將面臨以下十個方面的安全問題：第一，駭客入侵雲端伺服器，竊取資料；第二，雲服務提供者內部員工竊取客戶敏感性資料；第三，使用同一雲服務供應商的其他客戶，意外取得或竊取敏感性資料；第四，雲端資源遭到惡意濫用， 被用來濫發垃圾郵件或做為惡意主機等；第五，將特定敏感性資料傳輸至位於國外的雲資料中心時，可能違反本地法律；第六，外國政府可以未經客戶授權讀取當地雲資料中心內的資料；第七， 客戶不易對雲服務提供者的安全控制措施和訪問記錄進行審計；第八，雲服務供應商裝置管理不完善，導致服務中斷；第九，雲服務供應商倒閉，無法繼續提供服務；第十，使用者帳戶密碼被竊，雲服務資源遭到盜用。　　需要注意的是，在整個「雲-管-端」的架構中，最最容易受到攻擊的往往是端。 目前對於很多使用者來說，他們認為是「雲」不安全而抗拒使用雲服務，其實往往是他們本身對安全重視程度不高，導致帳戶密碼被竊，從而帶來相應的安全危險。　　RamprasadKan：把一般網路的資料安全風險與雲計算的資料安全風險區分開來這很重要。 雲計算方面的主要風險是丟失訪問資料(雲服務提供者的服務可能下降)並且對服務提供者資料中心的安全實施品質缺乏透明度。　　吳航：資訊資源集中化使得安全風險集中化，所以雲計算需要考慮到高可用性的設計；虛擬化下安全與實體安全差異很大，傳統的安全解決方案無法滿足虛擬化的需求，所以需要更加靈活的解決方案， 如可以運行在VmwareEXSServer上軟體形態的安全閘道用於保護虛機之安全；如同實體安全一樣，虛擬化下安全也需要全面的多層次的防護，從應用到主機，從端點到閘道，從硬體到軟體，從網路層到應用層。　　《通信產業報》(網)：通過雲計算將使用者的資料都集中到一個地方存儲，這會不會增加了駭客攻擊的目標性，使得存儲的風險更大？　　林育民：集中未必就比分散受到更多的攻擊風險。 相反的是，在雲計算背景下，企業將使用者的資料集中起來，相應地也會建立集中式的防護機制。 而以前的傳統做法是，由於大型企業有很多分支機搆，他們需要在每個分支機搆都要放防火牆之類的安全設備，導致安全設備臃腫，不利於管理，從而發生危險的可能性變得更大。 而現在部署了集中的防護機制後，使得安全保護更加簡單高效，同時使得企業安全保護成本大幅度降低。 從而有時間和資本去投入更多新的防禦機制的建立中。　　RamprasadKan：在技術上，雲存儲擁有成熟的隔離技術，可以為即使共用的資料存儲提供隔離。 重要的是，企業公共雲架構的主機應用程式這種資訊模式的資料不能被外部應用程式訪問，這將降低駭客攻擊風險。 所有資料都不會存儲在同一位置，雲服務供應商把資料存儲在多個區域以提供資料安全可靠性。　　《通信產業報》(網)：使用者將自己的資訊交給雲計算服務提供者，是否會有這樣的風險：雲服務提供者將有可能窺視所有使用者的資訊？ 您認為建立使用者與雲服務提供者之間的信任需要具備哪些因素？ 雲計算服務商如何保障使用者的隱私安全？　　林育民：確實存在這種情況。 不過，使用者肯定會選擇信譽度高的雲服務提供者的服務，這些服務提供者一般都通過ISO27000和SAS70TYPEII國際安全標準的驗證，一般都具有較高的安全信譽等級和完善的安全保護措施。　　此外，使用者還可以通過事後審計等各種措施來驗證雲服務提供者的安全性。 目前，雲服務提供者一般都提供了更為安全的資料保護措施，例如使用Google的Gmail郵件服務，Google會提供給使用者兩個密碼，其中一個密碼由使用者自己來設定，是靜態密碼，與此同時， Google還會隨即發送給使用者一個動態密碼，這個密碼一般幾十秒就會更新一次，而且是發到使用者的手機上。 這樣，即使駭客成功攻擊了使用者的PC，但由於沒有手機上的密碼，同樣無法獲取使用者的資料。　　《通信產業報》(網)：雲計算的安全問題已經成為資訊安全領域的新課題。 您認為雲計算為資訊安全領域的發展提供了哪些新的機遇？ 您認為應該從哪幾方面研究來提升雲計算的安全性？　　RamprasadKan：IT服務提供者將在雲安全服務方面發揮重要作用。 多個公共雲服務和內部自建企業IT(應用程式和基礎設施)的整合需要管理、降低風險以及法規管理。 IT服務提供者可以通過位於用戶端技術管理各個方面的雲安全。 雲服務的一些例子還包括動態資料洩漏檢測、報告和跟蹤、身份識別和訪問管理、敏感性資料的標記化、應用程式及網站的妥協檢測。　　如今的成熟技術可以確保網路資料和其他資料的安全。 雲服務提供者在數據中心執行技術的透明度(針對客戶)非常重要，這些技術執行包括資料備份、災害復原、他們保存資料的位置以及為審計訪問資料提供的各項設施。 這種透明度將帶給客戶一定程度的信任感和安全感。 除此之外，監管機構可以指定政策框架和標準化。 雲服務提供者也應該能夠提供合同擔保，並願意承擔資料丟失和其他代理商訪問的懲罰條款。　　吳航：虛擬或雲計算多為資源和系統的整合與集中，這就要求虛擬化下的安全解決方案要實現對虛擬環境下的流量情況，攻擊情況，使用者訪問情況視覺化和可控化；應對虛擬化技術將IT系統實施與變更週期較之以前數百倍的減少， 需要新的業務流程與規範來應對；資源的集中對硬體、設備自身的性能與高可用性技術帶來更高的要求。　　林育民：雲計算即帶來了雲的安全問題，同時也給安全的發展帶來了新的機遇，即「安全雲」。 對於安全廠商而言，雲計算的引入可以極大的提升其對病毒樣本的收集能力，減少威脅的相應時間。 雲計算在安全領域的應用可以極大的促進傳統安全行業的變革，安全廠商也可以實現「軟體+服務」的行銷模式。 例如，賽門鐵克就在國外提供了「安全雲」服務，受到很多使用者的青睞和租用。　　《通信產業報》(網)：電信運營商一直強調自己提供的服務是電信級的，相對於IT服務更具有品質保障。 您認為在提供雲服務方面，電信運營商有哪些優勢？　　RamprasadKan：電信運營商擁有的IT服務優勢將是該網路的擁有權，然而，IT服務商瞭解企業應用和企業的業務流程需要。 新興的雲模式將展現一個電信和IT服務提供者的合作夥伴關係模式。 電信作為獨立軟體運營商與IT服務提供者將創建一個新的雲生態系統。　　林育民：電信運營商具有不可比擬的網路資源優勢，這為其提供雲服務帶來了極大的便利。 此外，電信運營商在多年的網路運營中，積累了豐富的運維經驗，培養了一批高品質的技術人員，這都是很寶貴的資源。