过去一段时间中我们曾听到多次这样的话:“我们企业的那些敏感数据将永远不会放到云中。”当然,这种言论主要针对公有云而非私有云。按照《萨班斯法案》和《健康保险携带和责任法案》等相关法律规定,企业提交到云中的数据必须满足审计需求。
加州大学伯克利分校电子工程和计算机科学系的Michael Armbrust说:“我们相信建立同现有的各类内部IT环境同样安全的云计算环境是不存在任何问题的,灵活地运用加密存储、虚拟局域网、网络中间件(例如防火墙、包过滤)等技术就能迅速解决当前已经碰到的一些问题。”
其实,全球的网络安全公司都在关注云计算的安全问题,其中趋势科技是最早提出云安全概念的企业,作为一个倡导技术领先的公司,它早在几年前就开始利用云计算的先进技术和资源来保护用户,并且在近两年推出了云安全1.0和2.0的内容。
一直以来,VMWare是最大的云服务解决方案企业,不仅在硬件配置、开发框架和应用类型上保持了相对开放性,而且,通过和趋势科技的合作,为用户提供最安全的虚拟化架构、接口和认证程序。这得益于趋势科技云安全3.0解决方案为用户提供的双重防护方案:云的防护盾和云中保险箱。
趋势科技全球执行副总裁暨大中华区总经理张伟钦认为:“云安全3.0的出现,不仅是一次技术升级,更是对云计算环境的一次颠覆,以更完整的方案保护云计算基础架构。”
而国内技术型安全厂商的代表绿盟科技,则在自己的云安全计划中还囊括了适用于异常流量清洗的安全云,这种模式已经在多个运营商骨干网和城域网得到了广泛的部署。此次它推出的检测恶意网站的安全云将会与异常流量清洗安全云相结合,从应用及内容安全层面提升用户的安全体验。
与以往专注于传统分治网络安全不同,绿盟科技云安全计划基于绿盟科技在入侵防御、漏洞扫描、挂马防范、流量清洗等方面的多年的研究能力,结合强有力的计算能力,提供了在大范围网络环境下根治安全问题的全新思路,用户将获得全新的安全体验。
链 接
抵挡虚拟化过程中的风险
同传统的IT架构不同,在云计算当中以对机器的控制和权限为主的权力结构慢慢从企业下移到服务商。从传统架构走向虚拟的架构的云化过程可以分为三个阶段:
第一个阶段是服务器整合。传统的方式需要先盖机房,这要花很长的时间。将服务器合并,这是虚拟化的第一步。服务器的整合可以减小一些空间,实现节能减排,让企业更“绿色”。但是服务器整合的增加可能会影响到业务的连续性,不一定可以马上开展业务,因此第二阶段桌面的虚拟化就出现了。第三阶段是云的转移,这是在更高一个层次上考虑到成本与竞争力。
在整个虚拟化的过程中会存在一些风险。第一个是系统和资料不可控制。传统机器是有固定时空的,云化以后系统和资料的时空转移变成不可控的,这是云化同传统的最大区别。第二个风险是虚拟机之间会相互攻击。在虚拟化的那一层,虚拟机本身是一个操作系统,只要是操作系统就有漏洞。第三个风险是多台虚拟机共存时很难控制。过去为一台机器做防火墙、打补丁都挺容易。而多台虚拟机中有的会睡觉,这就给安全控制带来了很大的麻烦和风险。
在做安全防范时,传统的做法是一台虚拟机里面放一个杀毒软件,结果多台虚拟机定时进行扫描会将系统资源全部“吃掉”,这是传统的堡垒式的防御。而在同公有云连接之后,这个堡垒就消失了。如何重新设计这个安全架构,是一个很大的挑战。而且数据销毁很难。由于服务商都会帮助备份,一张放到互联网上图片被删掉之后还是可以被查到,隐私得不到很好的保证。这样的情况下,公有云的服务商是否要承担一定的责任呢?
如何防范上面各个阶段的风险?这就需要在云设计时就要考虑充分。
第一, 一个好的云要有充分的灵活性,最好的方法是从物理机到云计算都可以保护。防护系统的整合,事实上是一种新的安全概念。一般虚拟的安全系统本身是一台虚拟机,当其进入到物理机时和系统整合得好,所有的流量先透过虚拟机再“喂”给其他人,装一台安全系统就可以达到和装十套一样的效果。
