雲計算安全 誰具實力的維護者花落誰家？

雲計算安全——雲計算「美夢」中一顆定時炸彈幾年前的《紅鯡魚》(Red Herring)雜誌中，曾有這樣一句話，讓包括筆者在內的很多人印象深刻：「未來，我們將不再上網，因為，我們註定會是24小時線上的人。 」時光流逝，當年的預言正一步步變為現實，「雲計算」時代的到來，使得對於個人和企業而言，「24小時的線上」不再僅僅是資訊的傳遞與獲取，更是各種關鍵應用的實現。 就像IT評論家Keso對「雲計算時代」所做的描述那樣：「將來我們買一臺上網設備的惟一理由就是因為它可以方便地上網，設備本身不需要安裝任何軟體，它要做的一切就是打開瀏覽器去訪問互聯網，讓Web終端來實現一切資訊處理和存儲。 」一切來自網路、一切基於網路，一切運行于網路。 很顯然，這樣的環境對於電信運營商而言，有著前所未有的意義，IDC在不久前發表的觀點中明確談到，電信運營商是最有發展潛質的雲服務提供者，而雲計算也將成為電信業轉型的重要助推器。 由於雲計算在實質上就是一種通過IT設備、系統或軟體來表現的電信增值服務。 因此IDC預計，在不久的將來，雲計算會成為電信運營商在增值業務方面最重要的增長點，這同樣也是運營商未來產業戰略佈局中，最核心的至高點。 雖然雲計算在電信運營商的轉型戰略之中的前景被廣泛認可。 然而，IDC同時也談到，在這朵「充滿希望的雲」中，還有著很多令人擔憂的因素，其中，雲計算安全就是最引人注目的一個，而這也是綁在運營商和眾多企業雲計算「美夢」中的一顆定時炸彈。 雲計算還是「沼澤」計算？ 在不久前舉行的RSA 2010安全大會上，麻省理工學院教授、圖靈獎獲得者，著名的資訊安全專家Ronald L. Rivest在談到雲計算安全問題時，半開玩笑地指出，「也許我們起名叫‘ 雲計算’本身就是一個失誤，因為這名字很容易讓人感覺有趣和安全。 但事實上，網路中充滿了威脅和險惡，如果我們當初把它叫做‘沼澤計算(swamp computing)’或許更能夠讓人們對它有一個正確的認識。 」的確，就如同中國的成語「判若雲泥」一樣，如果我們處理不好雲計算安全問題，這個描繪中美好的「雲計算」很可能轉變成真正的「泥計算」，並把我們的企業和業務拖入沼澤。 然而，保護雲計算安全問題並不簡單，思科首席執行官John Chambers認為，雲計算將是一場網路安全的噩夢(security nightmare)，並且通過傳統的防護方式，並不能將人們從這場噩夢中喚醒。 雲安全聯盟最新的調查研究也顯示，51%的企業CIO認為雲計算安全是最大的顧慮。 而且，這些安全問題並不是一種隱憂，它實際上已經在不斷的發生。 例如對於運營商而言，要保證雲計算的可用性，最重要的一點就是防護DDoS攻擊，而在雲計算時代，要做到這一點就面臨著巨大的挑戰。 那麼安全廠商又該做些什麼呢？ 悄然「升級」的背後就在不久前，思科自己的網站上發佈一條關於Guard清洗中心升級解決方案的通告，通告中表示，思科的Guard清洗中心解決方案將面臨一次升級，由思科的合作夥伴Arbor網路公司繼續提供新的、 全面綜合的防DDOS攻擊的解決方案。 據稱，「整體解決方案的關鍵因素包含了思科交換及路由平臺的netflow 技術，Arbor Peakflow SP及清洗系統 (TMS威脅管理系統)。 思科特別指出，為了今後的發展，建議客戶遷移/升級到這個新的體系結構作為DDOS攻擊的保護。 」我們知道，在國內，思科的Guard清洗中心解決方案已經被成功的廣泛應用於大型互聯網運營商、主機託管中心以及大型企業客戶，有著很好的市場潛力，那麼這樣一款產品，為什麼最終會交由合作夥伴Arbor Networks來升級推出下一代產品呢？ 其實，其中最關鍵的因素就在於，雲計算時代的到來，網路應用環境的複雜性與攻擊變化的多樣性快速提升，使得雲計算安全變為一個更需要專注和專業的「技術工種」。 根據雲安全聯盟的調查，在雲計算服務模式下，互聯網應用層面的安全性變得越發突出。 從著名的資訊安全博客——賽道我們瞭解到，在近期網路中20個最高級別安全威脅中有16是應用層威脅，許多攻擊、資訊洩密都是由於應用層出現了問題。 在企業業務應用的部署方面，像微博、Facebook、 Sharepoint、wiki等應用的迅猛增長，都帶來了大量的風險，資料丟失、法令法規、運營成本、生產力下降、業務持續性等問題。 具體到DDoS攻擊上面，我們回顧其解決方案的發展過程可以發現，在2000年時互聯網剛剛興起，使用者通常採用DDoS防火牆即可有效抵禦攻擊。 而在2005年，隨著Web 2.0的蓬勃發展，託管服務安全供應商(MSSP)成為了那一時代的最佳解決方案。 如今進入了雲計算時代，原有的方式顯然已經並不適用。 正是基於這種考慮，思科決定停止對Guard模組繼續研發，轉而與長期合作的互聯網頂級流量分析者Arbor公司進行合作，通過集成路由與安全技術實現異常流量(主要是DDoS)雲清洗系統，將Clean Pipes解決方案升級到了2.0版本。 在Clean Pipes 2.0中，Arbor Peakflow SP 威脅管理系統(TMS)將成為Guard的升級方案。 而新的方案，最終將通過SaaS(安全既服務)的方式，實現高效率的「雲清洗」。 誰是最有希望的「拆彈部隊」？ 那麼，為什麼思科選擇了在國內名不見經傳的Arbor Networks作為推薦給客戶的「下一代選擇」？ 在未來的雲計算安全問題上，又有那些企業成為最有希望的「拆彈部隊」呢？ 事實上，我們仔細研究一下Arbor Networks就可以發現，其獲得思科的青睞並不僅僅是因為與思科長期的合作以及投資戰略加股東關係，更重要的是，Arbor具備獨有的運營商級部署與ATLAS威脅可見度的經驗資料積累。 Arbor Networks並不是擠進「雲計算餐桌」的遲到者，實際上，它一直是這個領域潛在的領導者，在國外市場上，其使用者包括全球70% 以上的運營商和大型企業。 其基於運營商經驗長期積累的ATLAS威脅庫，使得Arbor Networks的口號「瞭解你的網路(Know Your Network)」不是一句空談，也正是這種真正的掌控和瞭解， 才能使得未來雲計算應用中複雜多變的安全威脅得以剔除和解決。 窺一斑而知全豹，從思科Guard到Arbor Networks新解決方案的升級，我們可以看到未來解決雲計算安全問題的端倪，那就是，雲計算下安全的威脅，不能再僅僅圍繞各種「安全性原則」， 而是需要安全企業更多地植根于具體的網路應用，並能通過技術手段即時瞭解和感應這些應用，才能真正化解雲計算應用中多變的安全威脅。 剛剛獲得奧斯卡獎的電影《拆彈部隊》在片首有這樣一句話「......war is a drug」，是的，網路發展所積聚的財富與價值，會讓越來越多的人在攻擊和破壞中「成癮」，資訊安全的戰爭永遠不會停止，而每一家有責任心的安全企業最大的榮譽 ，就是行動起來，成為這個「雲時代」合格的「拆彈部隊」。 498)this.width=498;' onmousewheel = 'javascript:return big(this)' title="雲計算安全 誰具實力的維護者花落誰家？ " name="image_operate_52031311794032668" alt="" width="458" height="378" src="HTTP://images.51cto.com/files/uploadimg/20110728/1014150.jpg" />第三代基於"雲" 計算的清洗中心主要四大特點：一：智慧檢測分析系統與清洗中心一體化，基於運營商級的全網監控系統統一控制流量的流向並決定清洗行動。 提高了預見性與準確性。 二：雲清洗系統針對應用層的攻擊防護具有特別設計包括(DNS， HTTP， SIP 等)，並率先支援下一代IPv6的網路環境。 三：雲清洗系統具有異常流量的溯源能力並結合ATLAS威脅資料庫與指紋機制即時防範最新攻擊，包括零日Zero-day攻擊;四：雲清洗系統針對被保護物件的自服務門戶功能為運營商大範圍提供異常流量清洗服務提供了基礎， 改善了購買DDoS服務的使用者體驗。 雲計算是這幾年新興的技術，其必然成為萬眾矚目的焦點，同時雲計算安全問題也就成了大家討論的熱點問題，請讀者關注這方面的資訊與我們一起分享吧：HTTP://bbs.51cto.com/【編輯推薦】 雲安全是雲計算大規模應用的前提 雲計算安全技術架構助趨勢科技OfficeScan獲七連勝 前Citrix技術總監：虛擬化將解決雲計算安全問題 實名制網路在雲計算環境下該如何管理 近一半企業曾遭遇雲計算安全問題【 責任編輯：liyan TEL：（010）68476606】 原文：雲計算安全 誰具實力的維護者花落誰家？ 返回網路安全首頁