雲時代需要與之匹配的安全解決方案。 單點的、被動的傳統安全方案無法滿足雲計算虛擬、動態、異構的環境。 正是基於這樣的考慮,浪潮在2014「Inspur World」浪潮技術與應用峰會上宣佈推出雲主機安全產品解決方案,以可信伺服器為根基,通過構建從可信伺服器、虛擬化安全、作業系統加固到應用容器安全的完整「信任鏈」,實現完整、 主動的安全。
「老三樣」解決不了新問題
「當前我國安全防護的現狀是仍然傾向老三樣,防火牆、入侵監測、防病毒。 」 國家資訊化專家諮詢委員會委員、中國工程院院士沈昌祥在浪潮Inspur World大會雲資料中心安全分論壇表示,雲安全的發展遠遠滯後于雲計算和大資料的發展。
國家資訊化專家諮詢委員會委員、中國工程院院士沈昌祥
與傳統資料中心相比,雲資料中心存在新的安全風險。 這些風險包括新的技術和應用模式。 比如針對虛擬化的Rootkit攻擊,一旦被攻破將波及整個業務系統,而不僅是單台伺服器暴露在危險之中,已經實現虛擬化的資料和資源將會產生連帶風險。
此外,傳統安全威脅也在雲時代被放大,雲計算平臺是一個通用的平臺,其上可以運行多種多樣的網路應用,因此也可能帶來各種不同的安全威脅。 這幾年最危險和最隱蔽的高級持續性威脅攻擊(APT)也瞄準了雲資料中心,通過鏈路層、網路層、系統層、應用層(Web、資料庫等)等各個層面,把擁有大量關鍵業務資料的雲主機作為攻擊目標。
那麼,雲時代的需要什麼樣的安全保護?
基於可信計算構建「信任鏈」
「可信計算改變了傳統的‘封堵查殺’等‘被動應對’的防護模式,形成‘主動防禦’能力,滿足雲資料中心安全需求。 」 沈昌祥為雲安全指明瞭方向,並且從應用效果來看,「已經證明可信計算對於國內多類電腦設備和作業系統來說,是完全可行的有效的網路安全技術和管理措施。 」
可信計算是指在計算的同時進行安全防護,計算全程可測可控,不被干擾。 具有身份識別、狀態度量、保密存儲等功能。 其核心思想是通過在硬體上建立計算資源節點和可信保護節點並行結構,從平臺加電開始,到應用程式的執行,構建完整的信任鏈。
完整的信任鏈在可信計算中最重要的一環。 華中科技大學電腦學院的鄒德清教授指出:「在雲系統安全構建上,需要分析雲系統動態複雜性特徵,研究面向海量實體複雜信任關係的信任模型、信任基、信任度量和判斷等。 」即達到體系結構、操作行為、資源配置、資料存儲、策略管理上的整體可信。
華中科技大學電腦學院鄒德清教授
構建信任鏈的優勢在於,從安全技術上講,其將可信計算從單機擴展到虛擬化和分散式結算,保證了雲資料中心中各種行為的可控性,此外雲主機系統在資料處理和業務運行中的完整性、保密性和可用性也可以得到充分保障;而從管理措施上講, 雲主機安全系統採用白名單機制,建立了嚴格的准入制度,並在運行中一級測量一級,一級信任一級,從而實現雲計算管理的可控和安全。
以可信計算為基礎,構建完整的信任鏈是解決雲時代安全的必由之路。 浪潮雲主機安全產品解決方案正是踏準時代的節拍而來。 浪潮集團資訊安全事業部副總經理蔡一兵博士表示:「浪潮雲主機安全產品解決方案以可信伺服器為根基,構建連結固件、虛擬主機、虛擬作業系統和上層應用的軟硬一體化‘ 信任鏈’,其底層是自主可控,中間是可信,上層是彈性的安全服務,並建立常態的安全管理機制。 」 可信計算之外,該方案還融合了作業系統加固、虛擬化加固、虛擬網路控制等安全技術,可以全面解決雲主機面臨的傳統攻擊以及‘Guest OS鏡像篡改’、‘租戶攻擊’和‘虛擬機器篡改’等新型風險。
浪潮集團資訊安全事業部副總經理蔡一兵博士
中國亟需自主可控雲安全
雲安全對中國更為重要。 「因為安全的風險不僅來自于雲計算本身,還來自于我國在雲資料中心的關鍵系統和設備上缺乏自主控制權,缺少可信、可控的安全運行環境。 」沈昌祥解釋說,「這樣的結果就是容易遭受‘心臟出血’漏洞、系統癱瘓乃至針對性攻擊等安全威脅。 可以想像一旦承載著有關國計民生重要資訊的系統被外部勢力惡意攻擊,甚至成為網路戰的攻擊目標,其後果將不堪設想。 」
在雲安全領域,以浪潮為代表的一批公司切實推動了可信計算技術的應用,已經實現了國際TPM2.0標準版本,以及中國商用密碼標準演算法SM2,SM3和SM4在雲計算中的實際應用,帶動整個雲資料中心安全產業鏈發展的進程。