安全、可信的云計算不再難

文 | 本刊記者 姜紅德

提到云計算，今天已經(jīng)不再是“云來霧往”，而是有了更多的實際應(yīng)用和落地項目。在云計算風(fēng)起云涌的信息化新階段，“云”上的安全也被提上了日程。

云安全形勢嚴峻

在今年11月于浙江烏鎮(zhèn)舉辦的首屆世界互聯(lián)網(wǎng)大會上，中國工程院院士鄔賀銓表示，云計算能力的分布化、虛擬化、服務(wù)化是云計算的技術(shù)基礎(chǔ)，但云計算平臺如果被攻擊，出現(xiàn)故障，就會導(dǎo)致大規(guī)模的服務(wù)器癱瘓。

時間回溯到2011年，由于亞馬遜網(wǎng)頁服務(wù)器出現(xiàn)故障，包括基于位置的社交網(wǎng)站FoureSquare、問題和解答服務(wù)商Quora、新聞共享網(wǎng)站Reddit以及為網(wǎng)絡(luò)出版商提供游戲工具的BigDoor癱瘓。分析師指出，該事件實際上是再一次敲響了云計算技術(shù)乃至整個產(chǎn)業(yè)的警鐘，它將迫使云計算行業(yè)重新考慮這項遠程控制技術(shù)所面臨的問題。專家表示，亞馬遜數(shù)據(jù)中心服務(wù)中斷事故對云計算行業(yè)造成的影響相當(dāng)于一次航空事故，目前航空旅行仍被視為比汽車行駛更安全的交通方式。數(shù)據(jù)中心依舊比那些擁有自己IT基礎(chǔ)設(shè)施的個別公司更安全。關(guān)鍵的是，業(yè)界應(yīng)該從亞馬遜服務(wù)中斷事故中汲取教訓(xùn)。

普華永道今年9月份發(fā)布了一份關(guān)于云計算安全趨勢的報告，報告警告說：基于云計算的應(yīng)用帶來的風(fēng)險很多，包括數(shù)據(jù)安全、交易安全、業(yè)務(wù)聯(lián)系性和監(jiān)管合規(guī)等問題，實際上有關(guān)云計算和大數(shù)據(jù)帶來的安全隱患并不是首次被提出，越來越多的虛擬化技術(shù)和海量數(shù)據(jù)分析挖掘技術(shù)的應(yīng)用，讓更多的政府部門和企業(yè)陷入了更大的風(fēng)險之中。

虛擬化技術(shù)帶來的第一個風(fēng)險就是，傳統(tǒng)的邊界防御將失去效用，因為虛擬機的應(yīng)用隨時可能會漂移（V-Motion），在虛擬化的環(huán)境下，如何部署和實現(xiàn)安全防護？另外，客戶數(shù)據(jù)都集中到了云端，如何保證租戶的信息不被泄露？如何免受來自于互聯(lián)網(wǎng)的DoS/DDos攻擊？

這種擔(dān)心并不多余，在目前一些涉密或公共服務(wù)領(lǐng)域，一些創(chuàng)新產(chǎn)品技術(shù)在存儲、分析或者應(yīng)用層面仍需要考慮信息安全的風(fēng)險。正如某國家政府部門一位負責(zé)人所說，“政府部門對云計算技術(shù)的引入應(yīng)該謹慎才行，盡管這已經(jīng)成為一種趨勢”。

目前政府部門和大型企業(yè)對云計算的支持毋庸置疑，但是廣大中小企業(yè)卻對云計算的渴求遠不如想象中的迫切。知名的IT調(diào)查機構(gòu)IDC對企業(yè)CIO們進行了一份調(diào)查，結(jié)果顯示約有近一半的企業(yè)對未來一年內(nèi)在企業(yè)信息化建設(shè)中是否采用云計算解決方案還處于觀望狀態(tài)，是否擁抱云計算的主要障礙來自于對信息安全的顧慮。

IDC中國服務(wù)研究部研究經(jīng)理趙瀟表示，“在過去兩年里，企業(yè)對云計算的認知有了很大的提高，隨著企業(yè)業(yè)務(wù)的發(fā)展，未來幾年里與云服務(wù)有關(guān)的投資在企業(yè)每年地IT預(yù)算中的比例將越來越高。”

在越來越多的政府部門和企業(yè)選擇投資云計算的明天，也會有越來越多的網(wǎng)絡(luò)黑客和不法分子利用云計算技術(shù)及解決方案中存在的漏洞，這對有關(guān)組織和個人帶來巨大的安全隱患，而這些隱患和傳統(tǒng)固網(wǎng)中的安全問題又有所不同，特別是SDN、NFV這些網(wǎng)絡(luò)新技術(shù)應(yīng)用涌現(xiàn)之后，讓用戶們幾乎防不勝防。

SDN成下一個安全關(guān)注點

SDN（軟件定義網(wǎng)絡(luò)）浪潮洶涌，號稱可以顛覆網(wǎng)絡(luò)格局。同時NFV(網(wǎng)絡(luò)功能虛擬化)的提出，也強有力地彌補了SDN應(yīng)用層能力弱的不足。然而這些新技術(shù)的興起，使傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品越來越不能適應(yīng)新型網(wǎng)絡(luò)所帶來的變化，促使越來越多的國內(nèi)企業(yè)開始在SDN安全方面進行了大量探索。

在2014年CSA云安全高峰論壇上，綠盟科技資深研究員劉文懋表示，綠盟科技在業(yè)界率先提出并實現(xiàn)了安全控制器概念，在南向安全設(shè)備，北向安全應(yīng)用，東西向和SDN控制器等技術(shù)架構(gòu)以及對抗APT、BYOD等場景下展現(xiàn)了巨大的應(yīng)用潛力，按照劉博士的介紹，綠盟科技已經(jīng)和業(yè)內(nèi)領(lǐng)先的云計算服務(wù)提供商一起踏上了實際部署的征程。

在對抗安全漏洞上，SDN提供了新的可能性，然而SDN也可能擴展安全漏洞、誤配置、侵犯隱私和其他事變的危險。那SDN/NFV改變了網(wǎng)絡(luò)的哪些東西？安全漏洞通常會出現(xiàn)在什么地方？如何進行有效地防護？……針對一系列安全問題，啟明星辰公司首席戰(zhàn)略官潘柱廷進行了詳細分析，并揭示抗DDoS聯(lián)盟和XCert的本質(zhì)。他認為水滴之所以能凝集變成云，是源于結(jié)構(gòu)。有結(jié)構(gòu)就有其匹配的操作，有所謂好操作和壞操作。對抗是結(jié)構(gòu)之間操作的對抗，也是結(jié)構(gòu)本身的對抗。

在山石網(wǎng)科副總裁蔣東毅看來，NFV與SDN的結(jié)合，以及虛擬化技術(shù)的發(fā)展，使不同租戶、不同應(yīng)用對象的物理邊界模糊甚至消失，這對網(wǎng)絡(luò)、應(yīng)用及數(shù)據(jù)安全提出了全新挑戰(zhàn)：一方面?zhèn)鹘y(tǒng)硬件設(shè)備為主的網(wǎng)絡(luò)安全功能需要與以虛擬化SDN為主的云架構(gòu)集成；另一方面，與傳統(tǒng)筒倉模式相比，云安全更需要解決東西向流量為主、彈性部署、無物理邊界、虛機遷移、高可視化和集中管理等特有的需求。基于這些挑戰(zhàn)，山石網(wǎng)科遵循NFV理念，與SDN等云網(wǎng)絡(luò)集成組成服務(wù)鏈，全力打造了全分布式彈性虛擬防火墻架構(gòu)。

打造可信的云生態(tài)

云安全研究與實驗的孵化器CSA（云安全聯(lián)盟）是一個專家社區(qū)，專注于各種云安全的研究。自成立以來，云安全聯(lián)盟目前成員已經(jīng)達到了33個，名單中覆蓋了國際知名的電信運營商、IT網(wǎng)絡(luò)設(shè)備提供商、網(wǎng)絡(luò)安全商和云計算提供商，其成立的目的就是在云環(huán)境下提供安全的解決方案。CSA CEO Jim Reavis就未來云計算安全發(fā)展趨勢談到，云應(yīng)用發(fā)展障礙不僅是安全問題，還有信任問題。如何創(chuàng)建可信任的基于云生態(tài)系統(tǒng)， 需要各行業(yè)領(lǐng)先者及其合作伙伴共同努力，建立基于可靠技術(shù)、通用標(biāo)準(zhǔn)和最佳實踐的身份信任解決方案。

目前BSI (英國標(biāo)準(zhǔn)協(xié)會)已經(jīng)與云安全聯(lián)盟聯(lián)手推出STAR認證，致力于幫助企業(yè)在日趨激烈的云服務(wù)市場競爭中脫穎而出。 STAR認證是信息安全管理體系認證（ISO/IEC 27001）的增強版本，旨在應(yīng)對與云安全相關(guān)的特定問題。2013年9月26日，兩機構(gòu)正式宣布推出STAR認證項目，BSI成為目前全球唯一可以進行STAR認證的第三方認證機構(gòu)。該項目采用中立性認證技術(shù)對云服務(wù)供應(yīng)商安全性開展縝密的第三方獨立評估，并充分運用ISO等管理體系標(biāo)準(zhǔn)以及CSA云控制矩陣，幫助企業(yè)滿足對安全性有特定要求的客戶需求。

值得注意的是，中國專業(yè)安全公司綠盟科技成為中國、乃至亞太地區(qū)第一個企業(yè)成員。相信在不遠的將來，企業(yè)成員中還會出現(xiàn)越來越多的中國知名和新興企業(yè)機構(gòu)的身影。目前中國版的C-STAR的認證包括對基礎(chǔ)設(shè)施、虛擬化安全、移動安全等16個方面進行安全評估。該認證評估體系汲取了CSA的經(jīng)驗，并得到阿里、華為等企業(yè)的支持使其趨于完善，并得到了CSA的認可。

C-STAR評估的適用對象包括云服務(wù)提供商和用戶。從云服務(wù)提供商的角度來講，可以根據(jù)云計算行業(yè)最佳安全實踐，對云服務(wù)進行安全評估，識別安全問題，控制安全風(fēng)險、提升安全水平、增強用戶信心；從用戶的角度來講，在采購云服務(wù)之前或使用云服務(wù)過程中，希望對提供商安全進行評估，以反映其安全控制情況與自身需求的差距。

作為云生態(tài)的管理部門態(tài)度也十分明確。工信部等有關(guān)部門也針對云計算的可信性和安全性進行了新一輪的認證。今年7月份，首批可信云服務(wù)的認證名單發(fā)布，包括了云主機服務(wù)、對象存儲服務(wù)、云數(shù)據(jù)庫服務(wù)、云引擎服務(wù)、塊存儲服務(wù)五大類。據(jù)了解，共有33家云服務(wù)商的54個云服務(wù)咨詢或參評可信云服務(wù)認證，其中19家云服務(wù)商共33項云服務(wù)通過了該次認證，為建立可信的云計算生態(tài)系統(tǒng)奠定了基礎(chǔ)。

工信部總工程師張峰表示，建立可信云服務(wù)評估機制，是推動我國云計算健康、安全、有效發(fā)展的重要途徑。據(jù)了解，工信部牌照申請重啟的實施方案有針對性地對IDC/ISP申請企業(yè)在多方面提出具體要求，IDC服務(wù)市場準(zhǔn)入門檻有了進一步的界定；此外，工信部還將以電信主管部門的身份，引導(dǎo)和建立IDC和ISP企業(yè)信譽評價和機房星級評定管理機制。