云时代需要什么样的安全保护?

中关村在线 发表于:14年11月12日 13:29 [综述] DOIT.com.cn

  • 分享:
[导读]云时代需要与之匹配的安全解决方案。单点的、被动的传统安全方案无法满足云计算虚拟、动态、异构的环境。正是基于这样的考虑,浪潮在2014“Inspur World”浪潮技术与应用峰会上宣布推出云主机安全产品解决方案,以可信服务器为根基,通过构建从可信服务器、虚拟化安全、操作系统加固到应用容器安全的完整“信任链”,实现完整、主动的安全。

云时代需要与之匹配的安全解决方案。单点的、被动的传统安全方案无法满足云计算虚拟、动态、异构的环境。正是基于这样的考虑,浪潮在2014“Inspur World”浪潮技术与应用峰会上宣布推出云主机安全产品解决方案,以可信服务器为根基,通过构建从可信服务器、虚拟化安全、操作系统加固到应用容器安全的完整“信任链”,实现完整、主动的安全。

“老三样”解决不了新问题

“当前我国安全防护的现状是仍然倾向老三样,防火墙、入侵监测、防病毒。” 国家信息化专家咨询委员会委员、中国工程院院士沈昌祥在浪潮Inspur World大会云数据中心安全分论坛表示,云安全的发展远远滞后于云计算和大数据的发展。

国家信息化专家咨询委员会委员、中国工程院院士沈昌祥

与传统数据中心相比,云数据中心存在新的安全风险。这些风险包括新的技术和应用模式。比如针对虚拟化的Rootkit攻击,一旦被攻破将波及整个业务系统,而不仅是单台服务器暴露在危险之中,已经实现虚拟化的数据和资源将会产生连带风险。

此外,传统安全威胁也在云时代被放大,云计算平台是一个通用的平台,其上可以运行多种多样的网络应用,因此也可能带来各种不同的安全威胁。这几年最危险和最隐蔽的高级持续性威胁攻击(APT)也瞄准了云数据中心,通过链路层、网络层、系统层、应用层(Web、数据库等)等各个层面,把拥有大量关键业务数据的云主机作为攻击目标。

那么,云时代的需要什么样的安全保护?

基于可信计算构建“信任链”

“可信计算改变了传统的‘封堵查杀’等‘被动应对’的防护模式,形成‘主动防御’能力,满足云数据中心安全需求。” 沈昌祥为云安全指明了方向,并且从应用效果来看,“已经证明可信计算对于国内多类计算机设备和操作系统来说,是完全可行的有效的网络安全技术和管理措施。”

可信计算是指在计算的同时进行安全防护,计算全程可测可控,不被干扰。具有身份识别、状态度量、保密存储等功能。其核心思想是通过在硬件上建立计算资源节点和可信保护节点并行结构,从平台加电开始,到应用程序的执行,构建完整的信任链。

完整的信任链在可信计算中最重要的一环。华中科技大学计算机学院的邹德清教授指出:“在云系统安全构建上,需要分析云系统动态复杂性特征,研究面向海量实体复杂信任关系的信任模型、信任基、信任度量和判断等。”即达到体系结构、操作行为、资源配置、数据存储、策略管理上的整体可信。

华中科技大学计算机学院邹德清教授

构建信任链的优势在于,从安全技术上讲,其将可信计算从单机扩展到虚拟化和分布式结算,保证了云数据中心中各种行为的可控性,此外云主机系统在数据处理和业务运行中的完整性、保密性和可用性也可以得到充分保障;而从管理措施上讲,云主机安全系统采用白名单机制,建立了严格的准入制度,并在运行中一级测量一级,一级信任一级,从而实现云计算管理的可控和安全。

以可信计算为基础,构建完整的信任链是解决云时代安全的必由之路。浪潮云主机安全产品解决方案正是踏准时代的节拍而来。浪潮集团信息安全事业部副总经理蔡一兵博士表示:“浪潮云主机安全产品解决方案以可信服务器为根基,构建链接固件、虚拟主机、虚拟操作系统和上层应用的软硬一体化‘信任链’,其底层是自主可控,中间是可信,上层是弹性的安全服务,并建立常态的安全管理机制。” 可信计算之外,该方案还融合了操作系统加固、虚拟化加固、虚拟网络控制等安全技术,可以全面解决云主机面临的传统攻击以及‘Guest OS镜像篡改’、‘租户攻击’和‘虚拟机篡改’等新型风险。

浪潮集团信息安全事业部副总经理蔡一兵博士

中国亟需自主可控云安全

云安全对中国更为重要。“因为安全的风险不仅来自于云计算本身,还来自于我国在云数据中心的关键系统和设备上缺乏自主控制权,缺少可信、可控的安全运行环境。”沈昌祥解释说,“这样的结果就是容易遭受‘心脏出血’漏洞、系统瘫痪乃至针对性攻击等安全威胁。可以想象一旦承载着有关国计民生重要信息的系统被外部势力恶意攻击,甚至成为网络战的攻击目标,其后果将不堪设想。”

在云安全领域,以浪潮为代表的一批公司切实推动了可信计算技术的应用,已经实现了国际TPM2.0标准版本,以及中国商用密码标准算法SM2,SM3和SM4在云计算中的实际应用,带动整个云数据中心安全产业链发展的进程。

[责任编辑:孙莹莹]
淅西
龙芯3B服务器面世和POWER技术开放是最近的头条,除此之外,英特尔已有的强大生态圈,还有其他几颗“芯”的情况,据业内人士分析,Oracle和富士通采用SPARC架构芯片搭载Unix操作系统,在高端服务器市场占据一席之地,但未形成开放的生态环境,市场份额上也大大低于POWER芯片;被普遍看好的ARM架构以及相关服务器,普遍认为从移动端转移到服务器端要等到2016年才可能规模应用。再说下我国龙芯是采用MIPS架构,自主知识产权,应用于国内敏感领域,还未能进入主流商业市场。
官方微信
weixin
精彩专题更多
存储风云榜”是由DOIT传媒主办的年度大型活动。回顾2014年,存储作为IT系统架构中最基础的元素,已经成为了推动信息产业发展的核心动力,存储产业的发展迈向成熟,数据经济的概念顺势而为的提出。
华为OceanStor V3系列存储系统是面向企业级应用的新一代统一存储产品。在功能、性能、效率、可靠性和易用性上都达到业界领先水平,很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求。
联想携ThinkServer+System+七大行业解决方案惊艳第十六届高交会
 

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心

Copyright © 2013 DOIT Media, All rights Reserved. 北京楚科信息技术有限公司 版权所有.