資訊安全的出路「雲」中來

針對某大型IT企業IT管理部門提出的系統要求，Array Networks提出了以Array SSL VPN加Token權杖環進行遠端安全接入的解決方案。

僵屍成「雲」

如果想要進一步說明情況的惡化，除了不斷見諸報端的安全事件，我們還可以試著問這樣一個問題：和過去相比，今天，成為一名駭客，或者發動一場網路攻擊，究竟是更困難還是更容易了呢?答案顯然是後者， 就像Facebook資訊安全負責人MaxKelly在不久前一次網路安全事故後談到的：「網路攻擊與犯罪現在正變得前所未有的容易，發動一次攻擊就像是去超市購物一樣簡單。 」

不單是Facebook，類似的抱怨在今天的網站中早已屢見不鮮。 就在7月份，炙手可熱的Twitter網被人搞得頻繁斷線，造成使用者無法登錄;美國政府網站也遭到大規模DDoS攻擊，導致長時間癱瘓;而針對各種商業網站的攻擊更是屢見不鮮。

為什麼越來越多的商業競爭者喜歡採用這種方式打擊對手?亞馬遜戰略研究員JeffBarr說的這句話也許就是答案：「對於依賴網路實現業務運營的企業來說，這樣的網路攻擊就如同在路上挨了一悶棍，在暈倒的時間裡什麼都有可能發生。 而且重要的是，你很難找到究竟是誰給了你這一棍。 」

思科研究員兼首席網路安全研究員PatrickPeterson在最近發佈的安全報告中特別談到，因為商業利益原因導致的網路攻擊在不斷攀升，低廉的犯罪成本再加上利益的驅動，使得僵屍網路變得越來越難以控制。

就拿最近一段時間大名鼎鼎的Conficker蠕蟲來說，這個最早于2008年11月20日被發現的，以微軟的Windows作業系統為攻擊目標的電腦蠕蟲病毒，到了今年年初，就被《紐約時報》報導其至少感染了900萬台電腦， 而殺毒軟體廠商F-Secure更聲稱感染達到了驚人的1500萬台。

直到今天，雖然相關補丁已經出現很久，但憑藉多個變種版本，Conficker蠕蟲仍將數百萬個系統控制在其魔掌之下，締造了迄今為止規模最大的僵屍之 「雲」。 這些僵屍網路被以極為低廉的價格，租借給懷有不同目的的犯罪分子，利用這些資源實施網路拒絕服務攻擊，或者通過SaaS模型散佈垃圾郵件和惡意軟體。

而反觀安全防護技術，卻遲遲未能見到革命性的進展。 以企業應用中最為常見的安全防護產品——防火牆來說，雖然也經過了幾代的發展，從軟體到硬體、從單核到多核，但其根本的被動防護的原理卻基本沒有改變，這也使得其面對變幻多端的僵屍「雲」威脅時，總是一籌莫展難以應對。

人們不禁要問，出路究竟在哪裡?

下一代防火牆「雲」中來

「資訊安全的出路，最終也需要從‘雲’中尋找，而所謂的‘雲’其實也就是互聯網。 」郭慶的話開門見山，作為思科安全產品事業部的技術專家，郭慶顯然對網路和安全都有著非常深刻的認識，「今天的安全問題之所以讓人困擾，根源就在於網路的主要特徵，正從傳輸向著智慧化的雲計算演進，正是這一變化， 使得新的安全威脅變得更加難以防範。 」

郭慶認為，越來越龐大的互聯網正在逐步具備「智慧」與「感知」的特性，而這些特性，也恰恰是今天的資訊安全產品所需要具備的，也只有具備了這些特性，新一代的資訊安全防護體系，才能真正發揮作用。

「現在很多安全產品都面臨著巨大的挑戰，比如‘防火牆無用論’在國外早已有人提出，並且贊同的聲音不少。 」郭慶談道，「雖然這樣的言論有失偏頗，但也不無道理，回顧防火牆的發展歷史，從以CheckPoint為代表的軟體防火牆，發展到硬體防火牆、ASIC防火牆，再到今天熱鬧一時的UTM，儘管性能和功能上都有很大提升， 但其最基本的原理大多仍然是檢測靜態的位址表。 很顯然，對於不斷變化的僵屍網路，這樣的防火牆即使性能再高，也難以施展，未來應該屬於新一代的防火牆——‘雲’火牆」

那麼，這種從「雲」中而來的防火牆究竟具備什麼樣的特性?與傳統的防火牆產品相比又有怎樣的區別呢?

「雲」火牆最本質的特點，就是它的動態化和智慧化，而其技術實現的途徑，就是充分利用「雲」進行動態即時的威脅資訊集中採樣與共享，從而最終實現主動應變的安全服務。 」郭慶進一步解釋道，「思科擁有目前全球最龐大的安全威脅監測網路SensorBase，這就是新一代防火牆的‘雲端’。 它可以持續收集威脅的更新資訊。 這種更新的資訊包括互聯網上已知威脅的詳細資訊，連續攻擊者、僵屍網路收穫者、惡意爆發和黑網(DarkNets)等。 通過將這些資訊即時傳遞到‘雲’火牆，可以在僵屍網路等惡意攻擊者有機會損害重要資產之前及時過濾掉這些攻擊者。 」

雲安全的實質

由於現在互聯網資訊呈爆炸趨勢，每天新出現的資料以TB計算，如此巨量的網頁、視頻、郵件、檔，任何一個商業公司都無法把它們都全部、即時地標明安全等級，並存儲在資料庫裡供使用者進行安全查詢。

不過，儘管「雲」火牆相對傳統的防火牆技術有了很大的提升，但是距離建立起一套真正的現代資訊安全防護體系還有著相當的距離。 不過，最重要的是，我們可以從中看到邁向未來安全的關鍵路標，而這也正是雲安全的本質。

以雲計算為代表的現代資訊體系正變得日益龐大和複雜，對於這類複雜多變的體系，現代模糊數學的創始人紮德有一條經典的互克原理：「在足夠複雜的系統裡面，當某種量描述得越精確，那麼這種量描述的意義越模糊。 」換句話說，在一個複雜的系統中，所有的因素都相互制約影響。

因此對反映系統的量確定得越具體，那麼這個量對系統的描述就越不准確。 這是系統自身固有的矛盾，與測量方法和理論沒有關系。 就如同一個人無法抓住自己頭髮把自己提起來，這與他如何用力以及力氣大小無關一樣。

正因為這樣的矛盾，使得雲時代的安全防護重心，逐步遠離過去那種對性能或功能的片面追求，而是轉向更著重于基於網路之雲的智慧感知與靈活應對。

最後，記者想借用思科首席安全研究員PatrickPeterson的一個比喻，在Twitter攻擊事件後，PatrickPeterson形容僵屍網路強大的威力對於這些網站而言，就像是「用手雷去攻擊蚊子」。

　　同樣的，如果你仍然堅持在傳統的安全思路下花費重金、提升處理性能，就如同希望這只蚊子有一天能強壯到抵禦手雷一樣，那將是一條真正的不歸路。