狭义云计算是指IT基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的资源;广义云计算是指服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的服务。这种服务可以是IT和软件、互联网相关的,也可以是任意其他的服务,它具有超大规模、虚拟化、可靠安全等独特功效。
我看到过很多安全厂商所提出的云计算解决方案,以此为基础,我尝试着对云计算安全给出一个个人说法。我认为,目前,狭义的云计算安全包含三个核心技术方向,分别是访问控制、数据加密和对虚拟机的安全防护手段。而广义的云计算安全则包括云服务提供商所采取的各种网络安全措施,例如防DDoS攻击技术。
访问控制:确认用户身份
已经有云计算服务提供商利用访问控制来增强云计算的安全性。
PivotLink公司提供基于云的、按使用付费的商业智能服务。它与Novell合作并对后者的云安全服务进行了beta测试。
PivotLink负责开发的高级副总裁BobKemper说:“我们从插入在客户的服务中的Novell服务获得认证功能。目前我们使用身份管理和他们的认证服务来管理安全水平。Novell与所需的企业系统进行集成来提供对信息的访问。”
PivotLink的许多客户是各公司的零售经理。在使用Novell的云安全服务时,这些客户不必使用运行在企业内部的Novell软件,只要使用任意LDAP或ActiveDirectory基础设施就行。
这种基于云的服务使用基于SAML的认证。与Novell合作进行beta测试的协议允许客户可以自动删除离职的商店经理的账户并给新上任的经理自动添加授权使其能够使用PivotLink的服务。
Kemper说:“我们的客户表示需要某种形式的管控和审计。则使得他们对把敏感数据上载到云中感到更放心。
Novell云安全业务部总经理DiptoChakravarty说,Novell与许多软件服务化、托管提供商进行接触,了解他们对与Novell在基于云的安全服务方面开展合作的兴趣。
有一种设想是,Novell必须起到技术协议“中立国”的作用,支持SAML1.1、SAML2、WS-Fed、InfoCard和OpenID以及企业端的Shibboleth。Chakravarty表示,Novell云安全服务是真正的多客户托管安全解决方案,它可以由SaaS的托管服务商托管,或由Novell的合作伙伴托管。
EMC信息安全事业部RSA首席技术官BretHartma表示,专业的安全厂商可以满足云计算服务提供商三个方面的安全需求:
第一方面,保护云服务提供商免受外来攻击。
第二方面,满足云计算环境中不同租户之间的数据独立性。在一个云环境中通常会有两个以上的租户,他们之间的数据不能互相干扰。而且在未经授权的情况下,一个用户不能访问另外一个用户的数据。
第三方面,确保云服务提供商自身平台安全,比如访问控制、身份认证等基础性的要求。只有满足这三方面的需求,企业才能非常放心地将他们的应用转移到云平台上。
加密:保证数据自身安全
企业通常在网络的边界部署安全设备,用来拒绝外部非授权用户的访问。然而在虚拟化环境中,虚拟IT服务不存在物理边界。于是,企业必须假设所有传输的数据都有潜在的被拦截风险。
没有了物理控制,就必须依靠其他加固原理来限制对信息的访问。信息的加密是其中最重要的方法,它可以限制对有用信息的访问,这种限制甚至超过了对物理系统的保护级别。所以,加密成为了保证云服务安全性的关键性部分。
赛门铁克资深信息安全顾问林育民表示,在保护云端的数据安全方面,赛门铁克正在研发新的用户密钥管理技术,来保护用户数据的安全。
趋势科技执行副总裁暨中国区总经理张伟钦认为,如果企业把数据放到云服务提供商那里,数据的加密和解密就很重要。密钥一定要在企业自己的口袋里,别人只要没有密钥,就不能看到数据。需要注意的是,钥匙一定不要放在IT部门,而且资料的保存者和钥匙的拥有者一定要分开。
虚拟机防护:传统安全释放新活力
在保护云计算环境的安全方面,一些国外的安全厂商,例如StillSecure和AlertLogic,已经开始提供入侵检测、入侵防御服务,保护云服务提供商那里的基于虚拟机的服务器。
为医院和医疗保健机构提供病历管理的AutomatedDocumentSolutions(ADS)公司IT主管MikeCrews表示,ADS使用Host.net作为云提供商。当几个月前Host.net开始与StillSecure合作提供IDS/IPS服务时,ADS订购了服务,享受这类全天候监测的好处。
Crews说:“ADS很难自己部署这类功能,因为StillSecure这样的安全专家才能做好此类事情。”Crews说到目前为止,StillSecure提供的这项安全服务运行的很好。StillSecure拥有自己的网络运营中心,这个运营中心监测运行在Host.net那里的ADS虚拟机上的情况。服务的费用为每10台虚拟机每月支付250美元。ADS认为这样的费用是可以承受的。
另一家云基础设施提供商——iland公司CTOJustinGiardina说,iland在一年多以前便开始通过安全公司AlertLogic在其数据中心提供IDS/IPS监测服务。
iland的每家云客户通常会得到基于VMware虚拟机的虚拟LAN分段、防火墙保护。另外,客户还可以选择让AlertLogic从自己的网络运营中心监测这些虚拟机。
AlertLogic的监测使用基于主机的软件,该软件运行在管理程序级。AlertLogicIDS/IPS服务可以被配置为通过触发CiscoASA防火墙(例如检测到问题)的自动响应来自动保护某个网段。
有不到四分之一的iland客户使用这个AlertLogic服务。虽然AlertLogic负责对虚拟机的24X7监测,并且与客户建立直接的关系,但是如果发生安全事件,iland也可能会牵扯进来。
Giardina说:“不是每个人都懂得打补丁的重要性。”他谈到了因黑客和恶意软件造成的服务器安全受到损害,iland有时也收到AlertLogic的通知来回应安全事件。
虽然除了AlertLogic提供的安全服务外,iland当前没有增加更多第三方安全服务的计划,但Giardina说,iland正在研究建立基于赛门铁克软件的病毒扫描和防护服务的可能性。赛门铁克的新软件将利用基于VMware的VMsafeAPI实现管理程序级的监测功能。
虽然没有在中国进行重点宣传,但是在保护云计算安全方面,领先的安全厂商都有自己的计划和产品。
CheckPoint中国区总经理刘伟表示,VPN-1PowerVSX是专门为基础设[FS:Page]施整合而设计的虚拟化安全网关,对协助企业加强对云计算等一类虚拟化环境的安全控制有帮助。对于云服务供应商而言,VSX可以轻而易举地协助他们提供新的安全服务,因此是发掘新收入来源的理想平台。这些新安全服务包括增值虚拟化内容过滤、VPN、网络分区及防火墙服务。
在今年的RSA安全大会上,SonicWALL推出了两款安全虚拟设备——全球管理系统虚拟设备与ViewPoint虚拟设备。SonicWALL产品管理副总裁PatrickSweeney说:“企业部署的虚拟设备需要能够提供关键的安全性能并有助于提高工作效率,才能充分发挥设备优化、更低成本、数据中心容量充分利用以及云计算基础设施的优势。SonicWALL最新推出的产品可帮助大中型企业在虚拟化环境中开发可扩展的安全解决方案。”
趋势科技在收购ThirdBrigade后,经过一年多的整合和联合开发,推出了面向云计算架构虚拟服务器保护的DeepSecurity7.0新产品。据张伟钦介绍,作为一款全新的保护虚拟化服务器的安全解决方案,DeepSecurity7.0将云计算环境中的全部服务器纳入保护范围,包括操作系统、网络、应用程序等,不论用户使用的是何种运算环境、虚拟化平台或储存系统,它都能提供优异而完整的安全保护。
DeepSecurity7.0的主要特色包括:在云端服务器中设置一套防护模式,预防信息的外泄与中断;降低虚拟环境和云计算环境的安全管理成本;协助实现各种法规与标准的遵从要求,例如PCI、HIPAA等;为云计算数据中心解决各种黑客攻击问题,如SQL注入攻击、跨站攻击等。
云计算的绊脚石
云计算描绘了一幅美妙的未来图景。然而,企业们发现通向美好愿景的是一条艰辛之路,数据保护和虚拟环境中的风险管理让人望而却步。毋庸置疑,安全问题已经成为了阻碍云计算发展的最大“绊脚石”。
在2010年RSA大会上,RSA总裁科维洛表示,“有些事情阻碍了云这一愿景的充分实现。简单地说,那就是安全。据调查,有51%的首席信息官认为安全是云计算最大的顾虑。安全没有跟上云计算的步伐。”
云安全联盟所做的调查研究指出,业在选择云服务时面临着恶意攻击和数据意外丢失的双重危险。最关键的问题是应用程序编程接口(API)开发工具十分脆弱。研究人员表示,企业将众多的其他服务捆绑到一个云计算应用程序上,无形中使得自己暴露出了最薄弱、最易受攻击的环节,其中任意一个服务受到损害,将会导致所有连接的其他应用程序遭到攻击。
另外,根据独立研究与产业分析报告显示,虚拟化后的企业数据中心的安全状况令人担忧,尽管95%的数据中心在2009年都已采用了虚拟化技术,然而生产环境中的虚拟机器有60%以上比物理主机更缺乏安全防护。更糟糕的是,虚拟化为云计算提供了很好的底层技术平台,这些被虚拟化的设备和存储空间,大多已经成为云中的重要成员。
由于云计算是一个开放的环境,没有清晰定义的网络边界,云端部署的应用程序与操作系统受到攻击的可能性就会很大,很多计算资源今后都会面临更多的风险,安全形势会变得越来越严峻。所以,尽管安全厂商已经做出了很大的努力,但还需要让云计算的安全性变得更好。