云安全“风生水起”

在云计算时代下，融合了多项新兴安全技术的“云安全”概念风声水起。互联网与云安全相伴而生。互联网应用日趋复杂多样，新的安全威胁层出不穷。在云安全产业链上，厂商及其增值伙伴积极变革营销及服务模式，必将与最终用户之间建立紧密的合作关系。

　　有人说，云计算是国外新概念，而云安全概念是地道的国产；国外IT厂商更喜欢谈云计算的安全问题。

　　令厂商们感兴趣的是，开发基于web应用的安全平台，向用户提供安全的电子邮件、聊天、微博、博客、游戏等协作的平台性服务，这是时下安全界的“云”安全热点。

　　围绕云的应用，有人形象地作了这样的场景描述。早上，当你开车去上班，这个时候你车上的GPS，道路实时信息系统服务为你服务，而这家服务公司使用自己的机房为你服务；9点你到公司了，大部分和你一样上班的人也到公司，这时候，该服务中心的计算中心从100%的使用，变为10%；但是这时候，这些设备还在用电。10点，你进入办公室开始使用公司的IT系统，这些系统已经在昨天晚上空跑了一夜，来等待你的再次使用。中午你去吃饭，连锁餐厅的点餐系统会变得异常忙碌。下班后和朋友同事娱乐，休息一整天的点歌系统在晚上9点正式迎来使用高峰期。晚上11点，你醉了，要求代驾，代驾公司的客户服务预约系统，终于在午夜11点迎来了第一位客户……

　　我们试想一下，每天的生活中，需要用到计算力的时间和使用他们的地点有着天然的差异，如果将这些高峰时段完全不一样的企业应用都放入一个云计算中心，在非高峰时段的计算里可以分给其他行业来进行服务，计算效率自然会大大提高，不仅环保，同样可以为企业带来利润。

　　而如何有效实现云“即需即用”的高效率、方便、低廉的服务，云安全正是实现云计算这一服务模式的关键一环。

　　据专业人士分析，在云计算的概念下，计算机不再是些各自独立的机器，而是网络中的一个节点，而网络本身将成为计算机。这种将计算任务交给全球运行的服务器网络，在提供各种便捷服务的同时，不可避免的事实是需要提供更多更详细的个人信息，才能获得更好的服务;但另一方面，越来越多的个人信息公之于众，使得人类毫无隐私可言。以往的互联网应用，服务提供商的IT管理人员可以随意阅读甚至篡改用户数据，这就凸显了安全性在云计算环境下的重要。

　　云安全 安全云

　　云安全，安全云。这是由云计算所带来的新的安全服务模式。全球正在兴起云安全的服务，用户无须构建安全系统，由厂商或者运营商与厂商合作，提供云安全增值业务。

　　这契合了所谓云计算就是要做到物尽其用，人尽其才的原理。用户付出了用于一般IT管理及安全服务的费用，但可以得到顶级的安全和服务。用户不想付出高昂的成本去请最好的安全专家，又想获得好的安全服务，则云计算中心解决了这一供需矛盾。

　　可以说，安全问题始终是大众对于云计算领域最关注的问题，而多数云计算方面的厂商并无安全方面的完整和一体化解决方案。

　　有安全增值商提出，从架构上解决安全问题，优先考虑架构解决方案，而不是单点安全方案，即从架构将人员管理起来而非设备。这是实现云计算的最佳途径。

　　对云安全增值服务商而言，他们将不仅帮助云计算中心完成安全架构的设计、安全系统建设以及审核评估工作；更重要的是，他们针对云计算中心的安全服务，不限于传统网络安全，尤其要提供关于业务连续性的解决方案；需要做到苛刻的SLA 98.5%以上的正常服务水平及完成多种安全保障。

　　眼下，云计算最基础也是较快被采用模式是SaaS服务。但是人们对于使用服务安全问题，没有正确的认知SaaS。

　　“许多SaaS服务商在安全性提供侧重于SaaS系统本身的安全防护，安全指导方针以尽量保证比较高的SLA（通常在98.5%以上），尽量保证用户数据在机房的物理安全为主。但是忽视了用户使用SAAS服务过程中的数据安全。”群柏数码产品解决方案经理王铭杰说。

　　群柏数码作为云安全增值商之一，针对使用云计算的用户，该公司提供包括安全接入、身份认证、使用过程监控，以及完善的密码生命周期管理在内的一系列的安全解决方案，让用户可以在使用环节做到较高的安全保障，大幅减低数据使用中的外泄或者被盗的风险。

　　云安全的特性

　　云安全作为一种全新的服务模式，其主要特征其实在于为用户构建低成本的安全系统，将被动防御病毒攻击转向主动从源头出击，将安全威胁消灭在最初阶段。这使得构建智能的云安全系统成为关键。

　　关于云安全的定义，业内专家这样告诉记者，所谓“云安全”(Cloud Security)，就是网络时代信息安全领域融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，传送到Server端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。

　　“互联网与云安全相伴而生，安全即服务的概念与云安全等同，云安全其实就是向用户承诺提供了一个高可靠性高可用性的服务平台。除了微软、Google等开始加入‘云安全联盟’，而安全厂商则在‘云平台’发力外。赛门铁克已经在全球建立了安全服务中心，为3万多个中小企业提供安全云服务。”这位专家说。

　　例如，赛门铁克协助亚马逊提供公有云的服务和相应的基础架构:协助亚马逊云计算上提供防病毒服务;同时协助亚马逊进行存储的虚拟化；赛门铁克通过亚马逊EC2服务为企业提供下一代安全和企业级存储管理解决方案。SymantecEndpointProtection和VeritasStorageFoundationBasic均可通过AmazonEC2获得。

　　“云安全不仅仅是一个技术就能解决的，而是需要多方因素的联动，是一个系统工程。”赛门铁克大中国区总裁吴锡源说。

　　对于安全厂商而言，云计算的引入可以极大地提升其对病毒样本的收集能力，减少威胁的相应时间。对此，吴锡源深有同感，他认为，云计算改变了安全厂商之前只卖产品license的营销模式，使得服务模式成为可能，通过云把安全服务推送给最终用户。

　　“租”云

　　现在人们谈及“云安全”，必先谈云计算。云计算技术其实是各种虚拟化技术应用的融合，对于服务商而言，在商业模式上就是IT设施的一种转“卖”为租。

　　以租用的方式采用云服务，对于用户而言就是降低成本。当前，有实力的国内大型企业用户，并非云计算消费主力，中小企业将最先成为云计算的用户群。

　　以SAP的Business By Design为例。据了解，SAP把ERP中的9个核心功能，做了一个云计算平台；然后以每个月每人150美金的架构租给中小企业使用，上线时间只需要两周。

　　对比传统SAP R3几百万的一次性投入，半年甚至几年的实施周期，大大降低了门槛。由此，中小企业很容易导入云计算，因为用户通过较低的投入就可以使用与大型企业一样的IT系统流程来管理其业务。

　　“但是，这种SaaS应用，必须要有控制用户行为的安全手段。比如要有双因素认证和VPN来保驾，条件允许还应该部署DLP，数据防泄露产品，因为SaaS的系统导出的Excel的权限安全限制做得都不好，容易造成数据泄露。”王铭杰说。

　　毕竟，以前将应用服务器扔在公网上使用，比以前都放在DMZ区风险太高。对于在短期内使用云的用户来说，特别是一些以跨国服务为主的领域，如律师、咨询、高科技等，他们在中国的业务多为项目性，使用移动的计算环境，建立固定的内部数据中心不仅维护难度大，且无必要。毕毕竟他们的主营业力与IT关系不大，且其内部IT部门小，无法完全依靠内部资源来做很好的IT服务。过去，用户会采用外包的方式，但是安全性上也出现诸多人为漏洞；而云计算则非常符合他们的需求。云计算高品质的服务和完全的业务集成能力，很少的IT内核心，大量采用云虚拟化技术，这些都无需他们费精力，可以完全专注自己的主营业务。

　　“我们的云计算客户分为两部分，一是直接以云中心为代表的数据中心客户，二是以消费云计算为代表的最终用户。”群柏数据王铭杰介绍说。

　　据介绍，目前，群柏数据的私有云解决方案包括有CheckPoint的VSX虚拟防火墙，RSA的动态认证与日志分析解决方案，Xceedium的堡垒主机解决方案，CyberArk的密码生命周期解决方案，以及Citrix的XenApp应用隔离与监控解决方案。Websense的Triton安全架构等等。

　　对于用户来说，云计算环境下的安全关键就是保密。不仅是系统本身的技术需要可靠安全，绝对的逻辑隔离；还要对运营环节做绝对的控制和监视，确保云中心的运维人员绝对不能触碰客户机密信息。而这需要依靠人员的自律，加强有力的技术限制手段来共同实现。

　　云安全商机

　　云计算由IaaS,PaaS和SaaS组成，但目前还没有一个完整贯穿三者的解决方案，很大程度上还是各自为战。

　　以IaaS为例，ENOMALY是国际上第一个推出IaaS层面高可用性版本的厂商，该产品利用了硬件验证原理，确保用户在云使用的虚拟机的完整性和不可篡改性。

　　“安全将成为云计算普及的一大挑战，该问题的有效解决，需要软硬件厂商的共同协力，而该问题的解决将助力云计算的成长和推广，并从中衍生出无数商机。这也将成为国内自主品牌展现实力和创新能力的机会和舞台。” ENOMALY执行董事檀林说。

　　上海林果实业公司技术研发负责人陈孟英博士表示，作为一家以动态令牌起家的IT公司，林果正在规划未来为企业用户及消费者提供基于身份认证的“小”云服务平台。

　　陈孟英认为，云就象一个无盘工作站，“我们应该做什么样的云呢？从身份认证角度来看，我们可以建一个身份认证的云。大家手头上都有各种各样的卡，都有密码。邮箱也有密码。一个人拥有无数的密码，极其考虑人的记忆力。一张令牌可以管理多家银行登录密码管理。从云端为个人用户提供简单易用易于管理的第三方认证服务。”

　　其实，身份管理被认为是信息安全技术中的核心组成部分。首先建立信誉，从游戏、邮箱、博客、微博、即时聊天工具等需要认证，这些对安全度要求不太高的领域做起。

　　据说，美国就将废除用户名和静态密码的身份认证方式。因为这种方式已很难保障用户的数据安全。身份认证这块小“云”，将各家银行的认证体系集中在一起，现在存在法律问题。将来云建成了，这个问题将由建立云的这个组织机构来承担相应的责任。

　　对于安全领域内的被动防御技术（威胁管理和安全信息管理），身份管理的价值和特色在于它是信息安全中的主动防御策略。目前，国内的安全产品或服务提供商主要关注于威胁管理（防病毒、防火墙、入侵检测），身份管理和安全信息管理都很少涉及。但从全球来讲，身份管理已成为的主要IT厂商（包括IBM、CA、ORACLE）关注的焦点。

　　ENOMALY檀林介绍说：“目前我们开发云安全产品系列可以为用户提供云计算环境中，基于数字身份信息的集强认证、Web SSO、身份联盟与合规的数据安全保护服务于一体的独立第三方安全SaaS的平台。它可以为广大用户提供基于动态口令保护的强认证服务，并与各种企业内部应用、Web应用和互联网服务以及社区平台的身份和访问控制管理进行后端整合，使用户只需通过一次强认证保护的登录连接，即可获得多种Web应用的联盟服务。”

　　规避技术风险

　　专业人士表示，安全是基于风险的规则，用户需要先对云服务中存在的固有风险有认知。他们必须得理解，借用云计算的业务，系统必存在安全问题，关键是，“如何将安全风险控制到用户可接受的级别。”赛门铁克门铁克亚太区首席技术顾问林育民建议说。

　　例如，在SAP在中国正在猛推的Business By Design产品中，其登录门户不支持双因素认证，其SaaS服务中心不支持限定IP地址访问。这样就会造成多数云用户在不受监控的环境下登录系统，而这是造成时下数据丢失泄密或者系统故障的主因。

　　王铭杰说：“我们推荐的做法是，全部用户登录公司总部的堡垒机之后再从一个出口登录云计算服务，这样既可以做到监控，又可以用VPN的双因素认证系统，为SaaS服务加一道锁。”

　　因此，云计算的安全风险相对自有系统架构，安全压力并没有减少，只是侧重点不同，需要在架构设计更加符合用户使用环境的新型解决方案。

　　卫士通总经理助理兼战略合作部总经理钟博则认为，应用环境和数据脱离用户可控制范围，数据和应用环境的分离是导致云计算安全的根源。

　　云技术平台由于本身有诸多先天不足，必须得通过终端管理模式来建立完整的安全架构。即包括终端安全、管道安全和后台运营安全的整体安全机制。安全体系架构的核心即是密码技术和加密技术。

　　“私”与“公”

　　云计算认知方面中方及西方有认知差距。国内更关注在私有云。在国外更多讨论公有云。目前，云计算在传统行业如政府、金融、电信等，用户一般内部采用云计算的虚拟化技术，构建其私有云；再整合内部IT资源，降低IT部门成本。

　　多数服务商表示真正要运行一个良好的安全的私有云，必须要考虑法律合规性管理，哪些数据符合公有哪些数据符合私有云。管理员工，需要通过完整的安全管理机制，来确保云的安全。再是，在云系统之下，动态的调度，必须考虑安全保护因为系统的变化而导致防护的失效。

　　因此云安全用户必须注意三个部分：法律合规管理、隐私和内容的保护和基础架构的安全。云之间必然要互通。如果没有标准，那么牵移成本就会更高，不互通就会出现被特定厂商锁死的状况，客户系统的灵活性无法保障。

　　赛门铁克认为，未来是一个混和了私有和公有的云。“今年我们新加入的云安全带入了安全保护。因为我们发现，很多的恶意代码是采用的是针对性特定的攻击，传统的方式不能拿到样本。”赛门铁克林育民说。

　　2011年赛门铁克三大战略，第一是提供云安全服务，帮助云上面为用户提供安全过滤服务，二是云安全备份，提供与存储相关的解决方案。如在亚马逊上提供云安全。三提供相关的基础架构的服务及产品，协助用户建立私有云。

　　专业人士认为在云中，最大的安全威胁来自于内部，内部人员泄漏机密信息。所以，除了技术以外，还需要完善的法律法规以及成熟的审计制度的支持。由于缺乏这样的认知，使得当前频繁出现数据安全事件。

　　因此，无论“公”还是“私”，用户构建或者使用云时必须要注意：一般，构建内网安全解决方案，针对人员，行为，数据库，密码等作全方面的综合管理。将运维人员的权利缩小到最小，所有的操作都被限制成需要银行金库模式的双人操作，即操作人员不知道密码，审批权限人员不知道具体的设置操作入口，并且他们之间进行物理隔离。对密码进行高强度的更换，所有服务器和数据库的密码都可以做到1分钟变化一次。

　　另外，构建日志系统。它不仅可以在事后进行问题追逐，还需提供视频功能，准确定位到特定行为特定时间的操作行为。并且可以在事前进行数据分析以避免可能出现的安全问题，尤其是人为的问题。在这样严格的运营规范下，还需要进行全数据中心的ISO27001的审计，通过后，云中心才可以正式对用户提供服务。

　　移动互联的云安全

　　到云安全，不得不提移动互联。移动互联的安全性是另一个倍受关注的话题。移动互联面临很多状况，终端联连的安全问题。

　　利用云来提供安全服务，这些厂商，基本上需要具备要有足够的安全资质，整个安全服务这个范围，至少安全体系符合IS027000的要求，而这只是规范了整个信息安全管理体系的建构，并没有制定各个安全机制是否生效。所以标准要求至少达到SaaS7.0，由独立的第三方机构对相关安全机制作检查，二是必在具备完善服务说明及服务水平的协议，给客户提供服务的一些在法律上精确的描述。给客户承诺的水平到哪个程度。三是选择有持续的经营能力的服务商。

　　在移动互联网领域，未来最大的用途应该是为移动物联网打造网络基础架构。诸如汽车应用平台、智能手机、平板电脑等都是最好的移动接入终端。如何安全可控地让员工使用这些新型的移动客户终端，将面临很大的安全挑战。诸如使用者的身份识别，使用过程中的数据通信安全及设备的物理安全，设备中保存的数据安全等，以及如何对移动设备操作进行监控并作记录等，都需要一揽子解决方案来完成。

　　另外，移动办公面临的安全挑战主要有三方面：第一是要做第一是要做4A，4A是指：认证Authentication、账号Account、授权Authorization、审计Audit，中文名称为统一安全管理平台解决方案，不做4A，移动，远程使用访问数据将变得非常危险。其次是做接入安全，包括传输的加密安全，对应用程序进行虚拟化改造等，做好了接入可以有效降低数据传输中的风险，最后是做数据安全，推荐大家使用Citrix的虚拟应用/桌面技术彻底杜绝本地数据保存，特别是移动终端，但是如果不能做到全应用虚拟发布，那么还要强调在客户端设备上进行有针对性的加密与数据进出控制。

　　无论是远程使用移动互联网的用户还是本地使用云计算资源的用户，都必须要要进行严密的密码生命周期管理以及行为日志分析。这些辅助手段，对安全事件的发生有预防作用，可发现潜在的安全风险。