從理念到實踐 深度解析運營商和雲安全

當前，越來越豐富的市場資料正在打消人們對於「雲」概念的懷疑，越來越多的成功部署案例表明雲計算不再是漂浮在頭頂上空的一團虛無縹緲的水氣。 基於雲計算的安全服務（Cloud-based Security Service）逐漸浮出水面，越來越多的企業使用者成為雲安全服務的受益者。 那麼，國內的電信運營商在雲計算及雲安全方面，有何獨到的見解和看法，又有何實踐呢？ 本文根據運營商專家在CSA 2010雲安全聯盟高峰論壇上的演講，採編而成，從理念到實踐，深度解析運營商和雲計算、雲安全。 1. 風起雲湧，何為雲計算，何為雲安全？ 孫宏偉：我們將雲計算定義為，是一種利用大規模低成本運算單元通過IP網路連接，以提供各種計算服務的IT系統實現技術。 雲計算系統應同時滿足如下特徵：（1）大規模：一個雲計算系統由具備一定規模的多個結點組成的IT系統集群；（2）平滑擴展：系統集群規模具備靈活的擴充性和彈性；（3）資源分享：提供一種或多種形式的資源池，包括物理伺服器、 虛擬伺服器（虛擬機器）、事務和檔處理能力或任務進程，以及存儲資源等，這些資源池可通過抽象化方式實現，並能夠同時為多種應用提供服務；（4）動態分配：實現資源的自動分配管理，包括資源即時監控和自動調度等 ；（5）跨地域：雲計算系統需要具備整合不同地域的資源，提供各個層次的管理能力。 雲計算的基本分類，可以按照提供的服務類型分，比如說SaaS、PaaS等等；也可以根據雲服務物件的特點，比如共有雲、私有雲、混合雲等等。 金華敏：雲計算的產生有內部外部兩方面原因，首先，互聯網技術的快速發展是雲計算產生的內部基礎；第二，商業模式是雲計算發展的外在需求，目前很多的企業、組織的觀念已經發生了變化，由傳統的購買IT基礎設施轉換為資訊服務、 按需使用付費。 雲計算是針對這種背景出現的技術、服務，也是一種商業模式，它是傳統的IT領域和通信領域的技術進步、商業模式轉換共同促成的結果；它是一種將池化的集群計算能力通過互聯網向內、外部使用者提供自助、按需服務的互聯網新業務、新技術。 雲計算的基本特徵是以網路為中心、以服務為提供方式、資源池化、透明化、高可擴充性和高可靠性。 雲安全包括兩方面，一個是安全雲計算，也就是說雲計算技術在安全領域的具體應用，是雲計算應用的一個分支，可以通過採用雲計算技術來提升安全系統的服務效能，比如基於雲計算的防病毒技術、掛馬檢測技術；二是雲計算的應用安全，也就是說利用網路安全技術，提升雲計算應用自身的安全性，主要包括如何保障雲計算服務的可用性、資料機密性和完整性、隱私權的保護等，雲計算應用安全是雲計算應用健康可持續發展的基礎。 綠盟科技：雲計算，是一種計算方式，通過互聯網將資源以「服務」的形式提供給使用者，而使用者不需要瞭解、知曉或者控制支援這些服務的技術基礎架構。 雲計算是平行計算、分散式運算和網格計算的發展，或者說是這些科學概念的商業實現；雲計算也是虛擬化、效用計算(Utility Computing)、IaaS(基礎設施即服務)、PaaS(平臺即服務)、SaaS(軟體即服務)、 HaaS(硬體作為服務)等XaaS(一切皆服務)概念和技術混合演進的結果。 當談到雲計算和安全，一般有兩個方面的含義，一是雲計算自身的安全，主要是如何構建安全防護體系，保障雲計算平臺自身的安全；二是雲安全，即利用雲計算技術將安全作為一種資源和服務提供，如綠盟科技的網站安全監控服務、信譽服務等等。 2. 雲時代，面臨的安全挑戰孫宏偉：雲計算主要面臨四方面的挑戰。 首先，最重要的是應用和資料安全問題，只要包含使用者敏感性資料在雲上，就會有資料安全的隱患，在企業私有雲中，不同部門的資料放在雲上，同樣有一個資訊安全的問題，特別是財務資料、人力資源資料、客戶資料等等。 第二大問題是交互操作、標準化，例如不同雲之間的互通性特別差，再比如在PaaS層面，如果不同開發商提供的介面不相容的話，就可能需要重新開發介面。 第三是服務品質保證的問題，比如Google服務就出現過中斷。 第四是管理模式面臨的挑戰，雲計算強調集中，如果雲集中化誰來管理、誰來運維，就產生了職責劃分等管理模式改變的問題。 金華敏：雲計算應用目前面臨的主要安全風險有幾個方面，第一是使用者資訊濫用和洩露風險。 第二是多租戶環境下，使用者資訊安全、資訊隔離等都提出了新的要求。 第三是服務可用性威脅，使用者的資料和業務應用處于雲計算系統裡，對服務連續性、SLA和IT流程、安全性原則、應急回應等都提出了挑戰。 第四是駭客攻擊的威脅，使用者資訊資源高度集中，容易成為駭客攻擊的目標，包括竊取雲計算關鍵應用、資訊，也可以盜用雲計算的計算能力進行非法使用。 最後是法律的風險，因為雲計算應用資訊流動性大、地域性弱，資訊服務或使用者資料可能分佈在不同地區，甚至是不同國家，在政府資訊安全監管、行業規範等方面都可能存在法律差異和糾紛。 綠盟科技：雲計算面臨的安全威脅林林總總，非常之多，簡而言之，比較有特殊性的主要包括以下四個方面：（1）大量迅猛湧現的Web安全性漏洞：與傳統的作業系統、資料庫、C/S系統的安全性漏洞相比，多客戶、虛擬化、動態、業務邏輯服務複雜、 使用者參與等這些Web2.0和雲服務的特點對網路安全來說意味著巨大的挑戰，甚至是災難。 （2）拒絕服務攻擊：拒絕服務攻擊DoS和DDoS不是雲服務所特有的；但是，在雲服務的技術環境中，企業中的關鍵核心資料、服務離開了企業網，遷移到了雲服務中心，更多的應用和集成業務開始依靠互聯網， 拒絕服務帶來的後果和破壞將會明顯地超過傳統的企業網環境。 （3）內部的資料洩漏和濫用：企業的重要資料和業務應用處于雲服務提供者的IT系統中，如何保證雲服務商自身內部的安全管理，如何避免雲計算環境中多客戶共存帶來的潛在風險，這些都成為雲計算環境下使用者的最嚴肅的安全顧慮或挑戰之一。 （4）潛在的合同糾紛與法律訴訟：雲服務合同、服務商的SLA和IT流程、安全性原則、事件處理與分析等都可能存在不完善；另外，虛擬化帶來的物理位置不確定性和國際相關法律法規的複雜性， 都使得潛在的合同糾紛和法律訴訟成為利用雲服務的重大挑戰。 換一個角度來看，對於開展雲安全業務的電信運營商而言，則會面臨兩個非常現實的問題和挑戰：一是如何與客戶簽訂適當而合理的SLA協定；二是如何規避前向收費價格戰，這不僅僅是一個商業模式（business model）的問題， 無論採用哪一種收費模式（pay per use 或 pay per month），都存在一個前向收益的挑戰——使用者更傾向于價格便宜的服務。 如何說服使用者購買一個更好而不是更便宜的服務，是電信運營商必須仔細思考的。 3. 從理念到實踐，各方在行動，共建安全孫宏偉：「BigCloud（大雲）」計畫，于2008年9月完成了大規模運算實驗室一期工程的建設，配置了256台PC伺服器，初步建立了大規模運算平臺研發和試驗環境； 2009年12月完成了大規模實驗室二期擴容工程建設；2010年5月，我們發佈了大雲1.0的成果，對外發佈了五個應用（包括：並行資料採礦工具、分散式海量資料倉儲、彈性計算系統、雲存儲系統、平行計算執行環境） ；目前該平臺有1036個伺服器，5208個CPU核，10T的記憶體，2.8P硬碟。 對於雲安全方面，我們認為要從三個視角考慮：首先是雲計算提供者要考慮服務品質的保證問題；二是消費者需要考慮資訊資料保護問題；三是管理者需要考慮一些監管方面的問題，比如說制定安全的制度、政策，雲計算的安全標準，同時應該對服務提供者進行監控監管。 從技術角度，我們認為雲安全應該是端到端的解決方案，主要包括這幾方面的安全：一是虛擬化安全，如虛擬機器監控、虛擬機器隔離、鏡像的安全存儲、虛擬機器安全遷移；二是運行安全，如靜態代碼分析、對內外攻擊防護、程式運行安全；三是介面安全 ，如避免政策規避、避免惡意介面調用、介面調用認證；四是資料安全，如資料加密、安全訪問、內容安全、資料備份和消亡。 金華敏：對於雲安全的實踐，中國電信建立了基於雲計算架構的大容量DDoS攻擊防禦業務平臺，該業務平臺基於雲計算架構進行構建，採用「全網統一調度、並行處理、就源清洗」的處理機制，在資源的統計複用基礎上極大地提高了防禦能力， 成為國內電信運營商第一個投向市場的雲安全業務，開創了電信運營商雲安全業務先河。 另外，中國電信的快車道業務，主要是針對DSL和LAN撥號上網的使用者，通過在電信側集群部署多安全閘道設備，構建「安全雲平臺」，實現安全資源池化，通過統一資源調度，為客戶提供按需安全接入服務，採用雲＋端協同工作機制， 進行動態即時的威脅資訊集中採樣、共用與關聯分析與策略更新，實現主動防禦的目的。 綠盟科技：作為專業的安全廠商，綠盟科技為客戶提供多種類型的雲安全服務，如通過信譽服務的機制對外提供針對互聯網的信譽查詢服務，避免使用者訪問不安全的互聯網資源（In Cloud 模式）；同時， 綠盟科技還通過互聯網安全監控平臺向網站監管者和擁有者提供「綠盟網站安全監控服務」，一旦有安全事件發生，綠盟科技進行確認後會立即通知相關的人員即時進行處理和回應（From Cloud 模式）。 其中，互聯網信譽服務是綠盟科技根據多年安全研究形成的知識積累，通過對IP位址、功能變數名稱和URL等不同資源的內容和行為進行分析和記錄，能夠對互聯網相關資源進行威脅分析和信譽評級。 當前，綠盟科技已經與國際網路安全權威組織StopBadware達成戰略合作；作為資料提供方，協同Google、AOL、PayPal、Mozilla等機構一起，建立更為全面、及時、準確的惡意網站資料庫， 實現了全球互聯網使用者共用資料，共同維護互聯網良好秩序。 4. 展望未來，雲安全的美好時代孫宏偉：「BigCloud」計畫，是中國移動為打造雲計算基礎設施實施的關鍵技術研究計畫，主要有兩個目的，一是對內滿足整個中國移動IT支撐系統的需求，二是對外滿足中國移動提供互聯網業務和服務的需要。 金華敏：電信對於雲安全業務發展的規劃和設想，是實現安全業務的雲化，將雲安全基礎設施和雲安全業務兩個方面的平臺進行同時統籌考慮和建設。 其中，雲安全基礎設施可以通過SOC運營管理平臺管理和實現，滿足兩方面的要求，一是網路安全運行維護，二是對電信的客戶提供雲安全服務；對於雲安全業務平臺，注意利用協力廠商的雲安全平臺，如引進一些安全廠家提供的防病毒平臺等等， 充分融合內、外部資源，利用資源池化效應，提升整體資訊安全基礎能力及服務提供能力。 綠盟科技：2009年，雲安全聯盟CSA在RSA大會上宣佈成立，旨在為雲計算環境下的企業提供最佳的安全方案；而綠盟科技作為亞太地區第一個加入該聯盟的企業成員，將致力於在雲安全、雲計算領域的研究， 為雲計算業務和雲安全業務提供技術支撐，全面説明運營商提升安全能力。 5. 總結互聯網應用的迅猛發展豐富和方便了人們的生產生活，客觀上亦為駭客提供了充分施展拳腳的廣闊空間。 在「雲」時代，不斷變化和演進的攻擊手段和方式，使得傳統的企業安全防護體系面臨著前所未有的嚴峻挑戰。 隨著雲計算在各個領域的嘗試與落地，基於雲計算的安全服務已經從概念階段過渡到了完善和推廣階段。 中國移動的「BigCloud」、中國電信的DDoS攻擊防禦業務平臺和安全快車道業務，都是雲計算及雲安全的有益實踐，開闢了新的業務模式。 而綠盟科技，作為專業安全廠商，一方面提供安全解決方案，為雲計算平臺自身提供安全支撐和保護；一方面推出綠盟科技雲安全服務，如互聯網信譽服務、網站安全監控服務等等，為客戶提供安全服務，保障其業務的安全運行。 在「雲」的道路上，各方應該通力合作，共同推進雲安全服務模式的發展和成熟，為最終客戶提供優質的雲安全服務，實現多贏。 【責任編輯：許鳳麗 TEL：（010）68476606】 原文：從理念到實踐 深度解析運營商和雲安全 返回網路安全首頁