近年來(lái),隨著云計(jì)算的興起,云安全也成為一個(gè)時(shí)髦的話題。在各種公開(kāi)場(chǎng)合,安全廠商幾乎都會(huì)給自身的新產(chǎn)品貼上“云”標(biāo)簽。和整個(gè)IT領(lǐng)域一樣,安全界也人“云”亦“云”。
不過(guò),仔細(xì)想想云安全,似乎沒(méi)個(gè)統(tǒng)一說(shuō)法,各家所言可能只是其中一方面,采用某一個(gè)廠商的單一云安全產(chǎn)品也不能實(shí)現(xiàn)真正意義上的云安全。但云安全絕非一股時(shí)髦的風(fēng),隨著云計(jì)算研究和應(yīng)用的深入,云安全將給安全領(lǐng)域帶來(lái)一場(chǎng)變革。
云安全的三層含義
談云安全之前,有必要理清一下云安全的概念。云安全主要包含三層含義:
第一是如何保護(hù)云計(jì)算的環(huán)境,也就是如何保護(hù)SPI等不同的云計(jì)算環(huán)境。比如說(shuō)某企業(yè)要建一個(gè)私有云,那么如何保證這個(gè)私有云的安全性,這就是保護(hù)云計(jì)算環(huán)境的安全性。這涉及到對(duì)云數(shù)據(jù)中心的保護(hù)環(huán)節(jié),這體現(xiàn)了云計(jì)算安全的基本內(nèi)涵,一般將這層含義稱(chēng)為“云計(jì)算安全”。
第二是如何利用云給用戶(hù)提供服務(wù)。電信運(yùn)營(yíng)商或安全服務(wù)提供商可以建一個(gè)云,通過(guò)云把安全當(dāng)成一種服務(wù)提供給客戶(hù)。比如通過(guò)云提供電子郵件的垃圾郵件過(guò)濾、病毒過(guò)濾、郵件服務(wù)持續(xù)性、歸檔等,在全球范圍內(nèi)已經(jīng)是一項(xiàng)非常成熟、廣為客戶(hù)接受的安全服務(wù)。這類(lèi)服務(wù)一般稱(chēng)為“云安全服務(wù)”(Security as a Service,SecaaS)。
第三是如何利用云的技術(shù)增強(qiáng)安全防護(hù)的技術(shù)能力,比如采用位于云端的數(shù)據(jù)庫(kù)對(duì)病毒的識(shí)別和防范能力進(jìn)行增強(qiáng)。目前很多安全廠商所謂的“云安全”主要指這個(gè)意思。但是這種概念不僅局限于病毒防范,在很多領(lǐng)域比如防入侵、郵件安全、Web安全都可以很好地運(yùn)用云的技術(shù)進(jìn)行防護(hù)能力提升。我們可以稱(chēng)這類(lèi)能力為“云安全智能”。
通常,很多安全廠商指的云安全只包含其中某一方面,只有全面理解了云安全的概念內(nèi)涵,才可能更深刻地理解云計(jì)算帶來(lái)的安全挑戰(zhàn)。
邊界突破
云計(jì)算帶來(lái)的安全挑戰(zhàn),首先是帶來(lái)了邊界突破的問(wèn)題。新的IT環(huán)境下,應(yīng)用邊界、服務(wù)邊界、資產(chǎn)邊界都將被突破。
具體說(shuō)來(lái),一個(gè)是應(yīng)用的邊界。因?yàn)樵朴?jì)算及IT的變化,使得現(xiàn)在IT的應(yīng)用基本上只是一個(gè)想象力的,沒(méi)有任何技術(shù)性,這在以前不可思議。以前要把好的想法或者真實(shí)的問(wèn)題用IT技術(shù)解決,肯定會(huì)想很多東西,會(huì)被IT框住,現(xiàn)在這個(gè)邊界都打破了,有好的想法立刻可以實(shí)現(xiàn),包括后面的數(shù)據(jù)。而且,因?yàn)樵朴?jì)算帶有很多新的idea可以引入到應(yīng)用行業(yè)里,比如未知信息,個(gè)人身份信息都可以納入到里面去,應(yīng)用很多,所以應(yīng)用完全突破了。
另外一個(gè)就是服務(wù)的邊界。你想做什么都可以,不僅僅是企業(yè)內(nèi)部員工,你完全可以找第三方人來(lái)做。比如做一個(gè)分析的系統(tǒng),用手機(jī)可以看到項(xiàng)目的進(jìn)展情況,可以找第三方,直接把這個(gè)應(yīng)用提供給我,不用買(mǎi)服務(wù)器,不用終端,直接買(mǎi)服務(wù)。為什么第三方愿意做呢?因?yàn)橥ㄟ^(guò)服務(wù)他可以有收入。
第三個(gè)突破是相關(guān)資產(chǎn)邊界的突破,就是企業(yè)內(nèi)部IT對(duì)資產(chǎn)的概念、邊界模糊了,F(xiàn)在很多東西不是你所擁有,你真正擁有的是里面的信息和數(shù)據(jù)。所以云計(jì)算也好,社交網(wǎng)絡(luò)也好,移動(dòng)互聯(lián)網(wǎng)也好,確實(shí)給移動(dòng)信息帶來(lái)了很大的推動(dòng),但對(duì)安全挑戰(zhàn)也非常巨大,幾乎是顛覆性的。
云計(jì)算帶來(lái)的另一個(gè)安全挑戰(zhàn),是對(duì)用戶(hù)數(shù)據(jù)中心的挑戰(zhàn):數(shù)據(jù)中心網(wǎng)絡(luò)設(shè)計(jì)的扁平化和高速化,逐漸從傳統(tǒng)多層數(shù)據(jù)中心網(wǎng)絡(luò)向平面網(wǎng)絡(luò)架構(gòu)過(guò)渡,平面網(wǎng)絡(luò)架構(gòu)使用基于數(shù)據(jù)流、非攔截、最短路徑結(jié)構(gòu)來(lái)最大限度地提升網(wǎng)絡(luò)性能;相對(duì)于傳統(tǒng)數(shù)據(jù)中心,云化的數(shù)據(jù)中心內(nèi)部之間的流量將會(huì)大大增加。云數(shù)據(jù)中心內(nèi)部系統(tǒng)的虛擬化將引發(fā)新的安全問(wèn)題,同時(shí),訪問(wèn)數(shù)據(jù)中心的客戶(hù)端設(shè)備具有移動(dòng)化趨勢(shì)。此外,云化的數(shù)據(jù)中心和高速的Internet出口帶寬也會(huì)被黑客利用作為攻擊跳板,從而可能會(huì)給用戶(hù)帶來(lái)新的互聯(lián)網(wǎng)邊界責(zé)任風(fēng)險(xiǎn),這就要求用戶(hù)對(duì)云化的數(shù)據(jù)中心外發(fā)的數(shù)據(jù)流量也要進(jìn)行嚴(yán)格的入侵分析和過(guò)濾。
過(guò)去,網(wǎng)絡(luò)信息的監(jiān)控可以用網(wǎng)管設(shè)備來(lái)滿(mǎn)足,在虛擬化時(shí)代,同一個(gè)主機(jī)上的虛擬系統(tǒng)互相訪問(wèn)則不會(huì)經(jīng)過(guò)這些過(guò)時(shí)的網(wǎng)管設(shè)備。再有,傳統(tǒng)物理時(shí)代能夠用“拔網(wǎng)線”這樣的手段立即中止網(wǎng)絡(luò)形式的病毒爆發(fā),在虛擬化時(shí)代這樣的策略已經(jīng)是不符合新的系統(tǒng)形態(tài)。而且邊界式的保壘式防護(hù)在云計(jì)算時(shí)代也隨著邊界定義模糊、消失而不再適用。
綜合來(lái)講,數(shù)據(jù)的集中、系統(tǒng)的虛擬化、業(yè)務(wù)應(yīng)用的物理分布、訪問(wèn)端點(diǎn)的移動(dòng)化和消費(fèi)化,等等趨勢(shì),無(wú)一不對(duì)用戶(hù)的安全建設(shè)提出了更高的要求,同時(shí)也對(duì)傳統(tǒng)的安全理念發(fā)起了挑戰(zhàn)。
云安全,有哪些防護(hù)重點(diǎn)?
云計(jì)算帶來(lái)了諸多新的安全挑戰(zhàn),作為安全廠商,防護(hù)重點(diǎn)是什么呢?
在保護(hù)云計(jì)算環(huán)境的安全性方面,也就是“云計(jì)算安全”方面,有很多技術(shù)工具和產(chǎn)品可以沿用以前的技術(shù)手段。但是由于云計(jì)算環(huán)境引入的一些技術(shù)因素和地理因素,導(dǎo)致用戶(hù)對(duì)安全產(chǎn)品的選擇需要具有新的標(biāo)準(zhǔn)。云計(jì)算環(huán)境中會(huì)導(dǎo)致一些傳統(tǒng)的安全產(chǎn)品不再有效。這里容易忽略的是,新技術(shù)對(duì)舊技術(shù)的向下兼容不足以代表無(wú)需在新技術(shù)上調(diào)整,或生根地步的優(yōu)化。對(duì)于新技術(shù)應(yīng)采用結(jié)構(gòu)性的“集成”,而非應(yīng)用性的“兼容”。
云計(jì)算廣泛采用的虛擬化技術(shù),可能會(huì)導(dǎo)致諸多問(wèn)題:對(duì)虛擬機(jī)環(huán)境下的安全域劃分需要重新定義和隔離、一個(gè)物理計(jì)算機(jī)上面可能會(huì)出現(xiàn)隸屬于不同安全域的虛擬機(jī)、虛擬機(jī)的惡意代碼防護(hù)可能會(huì)導(dǎo)致AV風(fēng)暴、停用虛擬機(jī)再次上線可能會(huì)導(dǎo)致因病毒特征文件過(guò)期形成安全薄弱環(huán)節(jié)、異構(gòu)虛擬化平臺(tái)的統(tǒng)一安全管理,等等。此外,由于云計(jì)算數(shù)據(jù)中心的網(wǎng)絡(luò)結(jié)構(gòu)趨于高速化和扁平化,對(duì)于網(wǎng)絡(luò)入侵防御設(shè)備在加載規(guī)則情況下的處理性能也提出了更高的要求。而且,由于云計(jì)算技術(shù)得到了更加廣泛的關(guān)注和推廣,企業(yè)應(yīng)用日趨遷移到云計(jì)算數(shù)據(jù)中心中,導(dǎo)致企業(yè)用戶(hù)在企業(yè)內(nèi)部網(wǎng)絡(luò)和位于Internet上的云數(shù)據(jù)中心之間的業(yè)務(wù)交換日漸頻繁,因此,如何有效地保證數(shù)據(jù)交換服務(wù)的安全性,比如XML的安全性、身份認(rèn)證、授權(quán)等,將是安全領(lǐng)域研究者和安全廠商面臨的新的安全問(wèn)題。
“云安全智能”主要體現(xiàn)在安全廠商如何利用云的技術(shù)增強(qiáng)自身的產(chǎn)品對(duì)新出現(xiàn)的威脅的響應(yīng)能力。由于混合型威脅的快速演變,以及APT(高級(jí)持續(xù)性威脅)的日益盛行,只有對(duì)安全威脅的各種向量都能夠全局了解才有可能做出合理的響應(yīng)。為此,有知名的安全廠商對(duì)IT部門(mén)提出了如下要求:
采取主動(dòng)態(tài)度。企業(yè)IT部門(mén)在邁入云計(jì)算環(huán)境時(shí)需要采取一種更為主動(dòng)的態(tài)度。當(dāng)前更多的IT組織都在采取循序漸進(jìn)、有條不紊的保守方式部署云計(jì)算。此外,IT負(fù)責(zé)人應(yīng)把握好對(duì)安全性、可用性和成本等重要問(wèn)題的控制,做到這一點(diǎn)需要事先對(duì)IT員工進(jìn)行適當(dāng)?shù)呐嘤?xùn)和準(zhǔn)備工作。
設(shè)置信息和應(yīng)用層。并非所有的信息和應(yīng)用都是在同一層面上創(chuàng)建的。進(jìn)行分析并將信息和應(yīng)用放置在各個(gè)層次,才能確定哪些能優(yōu)先進(jìn)入云環(huán)境。
評(píng)估風(fēng)險(xiǎn)并合理設(shè)置政策。確保關(guān)鍵信息只能被授權(quán)用戶(hù)訪問(wèn),且不得將關(guān)鍵信息帶出公司。同時(shí),確保云服務(wù)提供商能滿(mǎn)足企業(yè)合規(guī)性的要求。最后,對(duì)潛在云服務(wù)供應(yīng)商的運(yùn)作能力進(jìn)行評(píng)估,例如高可用性和災(zāi)難恢復(fù)能力。
立即開(kāi)始行動(dòng)。云計(jì)算的實(shí)現(xiàn)并非是一步到位的工作,充分利用云服務(wù)是邁入云環(huán)境的一個(gè)簡(jiǎn)單的開(kāi)始。盡管轉(zhuǎn)移業(yè)務(wù)關(guān)鍵應(yīng)用的準(zhǔn)備可能需要一些時(shí)間,但可以先從比較簡(jiǎn)單的應(yīng)用和服務(wù)開(kāi)始部署。
新的起跑線,安全廠商如何占據(jù)高點(diǎn)?
云計(jì)算給安全廠商帶來(lái)了新的機(jī)遇和挑戰(zhàn)。面對(duì)產(chǎn)業(yè)變化,安全廠商們將怎樣迎接挑戰(zhàn)?怎樣抓住新的機(jī)遇?
賽門(mén)鐵克的安全專(zhuān)家給出了他們的看法:安全廠商要在新一輪競(jìng)爭(zhēng)中贏得制高點(diǎn),必須具備三點(diǎn),第一要有新的思路,第二要有新的保護(hù)手段,第三要工具化。沒(méi)有威脅就談不上安全,對(duì)威脅的產(chǎn)生廠商要有及時(shí)的敏感預(yù)警,能夠迅速捕捉到新威脅的動(dòng)態(tài),以及具體是哪些新的威脅。目前智能還是一種知識(shí),還需要變成智能,對(duì)知識(shí)要及時(shí)加工,把它變成一種產(chǎn)品和技術(shù),使得能夠幫助用戶(hù)快速地更新防御體系中的能力,去識(shí)別、去應(yīng)對(duì)、去預(yù)警這樣的威脅。對(duì)安全廠商而言,一方面的能力是快速獲取情報(bào),另一方面必須快速地智能提升防御體系產(chǎn)生反應(yīng)。此外還要有新思路,如SaaS類(lèi)似于把安全智能變成云服務(wù)的客戶(hù),因?yàn)榭蛻?hù)很難能及時(shí)更新他的知識(shí)庫(kù),但是專(zhuān)業(yè)的云服務(wù)提供商構(gòu)建這樣一個(gè)智能體系是比較容易的,即把知識(shí)變成產(chǎn)品和服務(wù)的體系。
很多人將云計(jì)算理解為信息安全廠商的一個(gè)新的起跑線,云計(jì)算的興起給信息安全產(chǎn)業(yè)帶來(lái)了新機(jī)遇,也帶來(lái)了很大的挑戰(zhàn)。很多傳統(tǒng)的安全防護(hù)思路會(huì)隨著云計(jì)算信息系統(tǒng)體系結(jié)構(gòu)和應(yīng)用的變化作出調(diào)整和改變,云計(jì)算體系復(fù)雜,要解決的問(wèn)題更多,因而對(duì)安全而言發(fā)展空間會(huì)更多,但若安全企業(yè)固守原有的技術(shù)和模式,終將被淘汰。只有那些能夠發(fā)揮原有優(yōu)勢(shì),并勇于進(jìn)行創(chuàng)新的企業(yè),才有可能挖掘云計(jì)算時(shí)代新的安全需求并開(kāi)發(fā)出相應(yīng)的解決方案,最終在這個(gè)新時(shí)代占據(jù)信息安全產(chǎn)業(yè)新的制高點(diǎn)。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:云安全帶給邊界突破的新挑戰(zhàn)
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112159397.html