在互聯網時代幾乎沒有人敢對安全打保票,不安全的因素實在太多了,時下又出現了一個新名詞“云計算”,云計算在IT市場上的雛形正在逐步形成,它為市場提供了全新的機遇并催生了傳統IT產品的轉變。它的橫空出世伴隨著諸多的爭議,“安全”肯定也是大家最為關注的話題了。
說安全之前我們先來談談什么是云計算?
云計算是一種基于因特網的超級計算模式,在遠程的數據中心,幾萬甚至幾千萬臺電腦和服務器連接成一片。因此,云計算甚至可以讓你體驗每秒超過10萬億次的運算能力,如此強大的運算能力幾乎無所不能。用戶通過電腦、筆記本、手機等方式接入數據中心,按各自的需求進行存儲和運算。而站在用戶的角度來看,云就是一種服務,一種按需獲取、按需付費的服務,類似于現在的用水用電。可以看出云計算的強大功能肯定是可以滿足當前已有IT產品的企業客戶,而且從企業的角度來看企業當然也想搶占市場先機,節約成本的。所以安全才是云計算普及的絆腳石。
說到云計算安全,其實大家都明白,任何一種新技術的出現并非一蹴而就。對安全部署而言,目前的云計算體系是從傳統的IT方案中升級而來,通過添加云客戶端文件信譽技術、威脅發現管理技術、終端安全管理技術,全新的云計算技術體系對企業用戶的終端安全保護與響應更加到位。而在技術方面,主要也就是虛擬化安全、數據安全和隱私保護技術,同時構筑完整的安全防護體系。而虛擬化安全技術目前已經比較成熟,對于虛擬機的安全隔離、虛擬機鏡像安全管理,虛擬化環境下的通信安全,虛擬化和物理安全設備的統一管理和可視化都已經有了相關的解決方案。數據安全和隱私保護技術在之前的傳統IT上就已經比較成熟穩定了,主要包括數據隔離,數據加密解密,身份認證和權限管理,保障用戶信息的可用性、保密性和完整性。
在安全防護體系上,需要構建包括底層架構安全(通過完善、規范服務器虛擬化安全、網絡虛擬化安全、存儲安全、高可用性要求以及虛擬化安全管理相關配置要求,構建邏輯安全邊界,保障虛擬環境安全。)、基礎設施安全(完善對底層資源的調度和分配機制,防止用戶對底層資源的過度占用;引入沙箱隔離技術,實現不同應用程序間的相互隔離)、運營管理安全(通過動態的安全環境來提高他的安全性)、信息安全層面(通過數據的隔離,加密傳輸,加密存儲這些技術手段為用戶提供端到端的保護)。
對于用戶與服務商之間相互協作的問題,狹義上可以通過服務商定期為用戶提供安全策略自配置、定期的安全報表、主動安全預警、安全審計等安全服務,提高用戶的安全感知度。在廣義上,則需要相關云安全標準和評測體系的完善,安全標準和評測體系能夠幫助用戶與服務提供商就相關的服務水平的協議內容達成一致。在這個方面,云安全聯盟(Cloud Security Alliance)、IEEE、IETF等眾多第三方組織將進一步推進這些工作
當然,與傳統IT相比,云計算有著它的獨特之處。
首先,虛擬化環境下的技術及管理問題。傳統的基于物理安全邊界的防護機制難以有效保護基于共享虛擬化環境下的用戶應用及信息安全。另外就是,云計算的系統如此之大,而且主要是通過虛擬機進行計算,一旦出現故障,如何快速定位問題所在也是一個重大挑戰。
其次,云計算這種全新的服務模式將資源的所有權、管理權及使用權進行了分離,因此用戶失去了對物理資源的直接控制,會面臨與云服務商協作的一些安全問題(主要是信任問題),如用戶是否會面臨云服務退出障礙,不完整和不安全的數據刪除會對用戶造成損害,此外,如何界定用戶與服務提供商的不同責任也是很大一個問題。
最后,云計算平臺導致的安全問題。云計算平臺聚集了大量用戶應用和數據資源,更容易吸引黑客攻擊,而故障一旦發生,其影響范圍更多,后果更加嚴重。此外,其開放性對接口的安全也提出了一些要求。另外,云計算平臺上集成了多個租戶,多租戶之間的信息資源如何進行安全隔離、服務專業化引發的多層轉包引發的安全問題等。
實際上,云計算和傳統IT有很多相同之處,它們最終的目標都是為了保護數據的完整性,保護的對象也都是計算資源、存儲資源和網絡資源,而且其采用的技術也非常類似,如傳統的加密解密技術、相同的安全基礎設施、IDS/DPI等基礎防護手段。
政府機構的信息監管、隱私保護等相關制度的出臺,將維護行業的健康持續的發展,對企圖違規操作的行為起到威懾和懲戒作用。當然,縱觀IT技術的發展歷程,政府的相關政策通常是滯后于社會實踐應用的,因此這一點并不是云計算采用最大的障礙。
經過以上對于云計算安全問題的梳理和解決方案的探討,我們發現云計算安全并不是我們想象得那般不可逾越。正如EMC公司信息安全事業部RSA執行主席亞瑟?科維洛所說的那樣,用戶無需過度疑慮云計算的安全技術,實際上有比我們想到的多得多的安全技術能夠用于保護云計算的安全。云計算廣泛應用的時代漸行漸近,云計算安全已不再是擋在云計算應用的一座大山,而是一塊幾方合力可以搬動的石塊。
