云端新挑战 三大利器护航云安全

随着云计算的兴起，关于云安全问题的讨论也接踵而来。我们这里所说的云安全大致包含三层含义。第一，保护云计算环境本身的安全，这里就涉及对云数据中心的保护等环节，这是真正体现云计算安全的本质，其实现难度也较大；第二，利用云为企业用户提供安全服务，即SaaS（Security as a Service）。比如，利用云提供垃圾邮件过滤、邮件服务持续性、归档等服务；第三，安全企业利用云技术来提升安全防护能力。云计算安全防护需要包含系统保护、虚拟环境内部隔离等诸多环节，要实现完整的云数据中心安全防护绝非易事。

来自云端的安全挑战

在传统模式下，IT运维和安全人员的职责是独立而清晰的，大致可分为网络、主机、数据库、应用等角色，虚拟化平台则会导致网络、系统、数据库、应用等资源的发布和管理职能都集中在虚拟平台管理员，如何规划人员角色和职能？安全在组织中的定位如何？这些都需要重新考虑。

新的IT环境下，应用边界、服务边界、资产边界都将被突破。同样，基础架构虚拟化也带来了安全边界的模糊。传统数据中心安全域比较容易划分，根据安全域等级进行网络分层和访问控制，网络管理和系统管理职能也是分开的，彼此制约。而在虚拟化平台下，安全边界趋于模糊，主要通过逻辑划分实现逻辑控制。

云计算安全与传统IT安全重要的不同之处在于大规模的基础设施共享，来自于不同公司、不同安全信任水平的人员长期共享同一套计算资源。而公有云服务由一大批服务商提供，数据存储和处理都在外部环境中完成，即便在云计算内部也很难具体定位数据的存储位置。抽象层屏蔽了传统的可见安全过程，这种不可见性会导致数据安全、服务可靠性、合规性、SLA保障以及整体安全管理的一系列问题。当前企业正在使用的云计算安全服务都属于常规安全服务，而且所占比例基本相当，比如基于云的反恶意软件、基于云的应用扫描以及基于云的网络安全网关，彼此差距并不明显。

云凭什么安全？

市场研究公司Gar tner的分析师Jay Heiser一直致力于研究企业和法规所面临的潜在风险。Heiser称：“服务提供商可能正在为保护数据做大量工作，或是正在创建安全性更好的应用框架，这固然不错，但是大的问题在于你如何确定他们正在做这些工作。提供商无法(通过测试和数据验证)证明他们产品的安全性像他们所宣传的那样，如此一来，你将无法做出是否选择他们的决定。”

云计算平台安全架构

美国印第安纳大学摩利尔法学院网络安全应用研究中心主任Fred Cate表示：在涉及云计算安全时，企业所面临的大难题是，谁应当在法律方面承担责任。云服务提供商认为企业用户应当为此承担责任，而企业用户则认为云服务提供商应当承担责任。为了解决这一问题，一些企业选择了微软等值得信赖的服务提供商。这一做法不仅导致企业用户的选择范围大幅缩小，同时也不能确保数据的安全性，因为你仅仅为你的云基础设施选择了一个知名的服务提供商而已。幸运的是，一些新技术正在帮助确保云计算的安全，至少对于员工来说将知识产权或敏感数据公布在公有云上将变得更加困难。

通过流程进行数据中心的保护

今天的我们正不得不面对如下的问题：记录的数据被破坏，以及专业黑客购买和销售的整套攻击技术和系统的漏洞信息。数据破坏事件比仅仅遵守保密规定的花费要昂贵得多，因为规定永远都是在威胁已经发现后才被人们制定出来的，并可能演变成为能被利用的企业弱点。

传统保护数据的方法通常强加了很大的负担，并且迫使人们改变应用程序和系统。例如，大多数企业或交易处理机构在现有系统上已经投入了大量的资金，并且大量的规定数据可能需要留在原有的IT平台和网络上。而在应用程序环境中，系统本身存在着固有的复杂性和多样性，这意味着用传统的方法对数据进行加密需要IT基础设施的一次整体“大修”。更糟糕的是，静止数据加密(在实时的IT系统中少有静止数据)无法阻止瞬间发生的攻击。

近，在一些规模有所扩大的企业中出现了一个新的数据保护的模式：一个“数据为中心”的办法。它从捕获时刻开始并贯穿整个生命周期，实现真正端到端的保护，并对现有系统没有重大的破坏。这样的数据保护方法让系统可有效地抵御从外部到内部威胁，并且还大大降低了成本。

为什么以数据为中心的保护方法必须考虑到数据的整个信息生命周期？因为实际操作中常常会遇到这样的情况：一些业务流程会强加于已没有实际用途的数据上。不对这些数据进行销毁，只会对特定的交易数据的日常使用造成妨碍，甚至造成系统漏洞。例如只对静止数据加密的方法，会让攻击者通过多种多样的渠道(如SQL注入攻击)访问数据。

应用环境中流动的数据需要被有效地分析，做好数据分析才有可能预先建立风险文件夹并开始系统地使用高风险的数据流，如数据库和管理重要保密身份信息的应用程序。结合了以数据为中心的解决方法的身份管理系统将支持基于角色的数据访问管理。于是，一些现有系统中将会同时拥有角色和权限管理功能，如directory infrastructure或IDM平台和联合的验证系统。有了这种办法，数据就能系统地抵御黑客的攻击和人为的破坏。同时，这个技术解决了普通员工和管理员职责分离的难题。

另外，随着移动平台（手机、平板等）的兴起，人们越来越倾向于使用移动平台完成新的工作任务。然而数据隐私问题往往不允许这种新型的业务模式。好在以数据为中心的模式在这个领域中是比较理想的。例如，目前在移动平台上使用整合的技术对数据进行保护已成为可能，如格式保留加密(FPE)和高级的公开密钥技术(如基于身份的加密技术(IBE))的结合。

安全整合SaaS

安全整合SaaS应用程序的首要问题在于这些集成系统拥有比正常网页应用程序更复杂的威胁模式，而且自定义代码集成样式和SaaS服务没有规范和标准化，没有被很好地理解应用。这将很容易导致开发人员不清楚如何在自定义代码集成样式与SaaS服务规范之间安全地建立互操作联系。与此同时，由于特殊平台和相关性能的缺失，也给如何为开发者提供标准化指导带来挑战。安全解决方案需要一系列的东西。比如，开发者需要从SaaS应用程序获得经过验证的数据来防止系统部分之间恶意攻击的传播。除此之外，那些输送SaaS供应商的数据需要及时编码、加密，用户必须使用指定的验证码才能通过SaaS供应商的验证。许多应用程序开发者淡化内部威胁和被保护的感觉，因为他们的网页应用程序有验证码，同时只有被授权的员工才能登录这些应用程序。SaaS进一步的风险在于客户数据系统管理方面主要是由SaaS开发商和托管服务提供商来运行，这种运行模式使数据在休息和传输过程中建立数据保护程序变成一种必须步骤。总而言之，威胁和攻击面在SaaS应用程序上大大增加了。这使得像数据保护、审计和双因素认证应用的安全功能更加必要，因此安全编码、安全检测和第三方组件的审核都是必需的。

美联航今年将为机组成员提供10000部苹果iPad，这些iPad将替代老式传统的飞行包，存放手册、航图和其它用于飞行准备的非敏感信息。机组成员可访问Jeppesen等托管服务提供商，以获得在线飞行手册服务。如何将这些iPad设备进行云同步呢？美联航负责IT安全与风险管理的常务董事John Van Hoogstraten称，公司目前正在使用赛门铁克的产品进行身份管理和病毒防护，下一步他们将考虑部署名为“赛门铁克O3云身份与访问控制”的单点登录产品以执行单一认证程序简化云软件的认证。什么是单点登录？就是可以接入美联航的活动目录(Active Directory)系统并为机组成员访问服务提供商提供一个入口，避免因为需要不同服务而需要多次登录。而单点登录就是常见的一种处理云安全问题的新机制。这也将意味着在发生问题时只有一个故障点。O3将作为一种工具在数据中心运行，所有的云访问都将流经该设备，缺点就是可能会降低连接速度。

单点登录解决了云计算安全性的根本问题，即便捷性与安全性的平衡。当然，认证并不总是大的问题。比如曾经的Gmail(密码)事故，在事故中人们能够轻易地获得访问权。许多企业需要意识到密码存在缺陷，为了解决这一问题，赛门铁克还使用了之前提到的双因素认证。典型的情况是，员工需要安装在iPad上的标记ID和密码才获取访问云服务的访问权。

虚拟化环境下的安全防护措施

虚拟化是目前云计算为重要的技术支撑，需要整个虚拟化环境中的存储、计算及网络安全等资源的支持。在这方面，基于服务器的虚拟化技术走在了前面，已开始广泛地部署应用。基于虚拟化环境，系统安全威胁和防护要求也产生了新变化。

赛门铁克O3云邮件工作原理图

传统风险依旧，防护对象扩大。一方面，一些安全风险并没有因为虚拟化的产生而规避。尽管单个物理服务器可以划分成多个虚拟机，但是针对每个虚拟机，其业务承载和服务提供和原有的单台服务器基本相同，因此传统模型下的服务器所面临的问题，虚拟机也同样会遇到，诸如对业务系统的访问安全、不同业务系统之间的安全隔离、服务器或虚拟机的操作系统和应用程序的漏洞攻击、业务系统的病毒防护等；另一方面，服务器虚拟化的出现，扩大了需要防护的对象范围，如IPS入侵防御系统就需要考虑以Hypervisor和vCenter为代表的特殊虚拟化软件，由于其本身所处的特殊位置和在整个系统中的重要性，任何安全漏洞被利用，都将可能导致整个虚拟化环境的全部服务器的配置混乱或业务中断。

纵向流程模式的工作流程

在利用现有的经验模型解决好当前存在的普遍性安全威胁后，现阶段虚拟化环境下的安全防护还需要重点考虑VM之间的流量安全。分析流量的转发路径，我们可以将用户流量划分成纵向流量和横向流量两个维度，并基于每个维度的安全需求提供有针对性的解决方案。

纵向流量的安全防护。这部分纵向流量包括从客户端到服务器的正常流量访问请求，以及不同VM之间的三层转发的流量。这些流量的共同特点是其交换必须经过外置的硬件安全防护层，我们也称之为纵向流量控制层。一方面，这些流量的防护方式，和传统的数据中心的安全防护相比没有本质区别，用户可以直接借鉴原有经验进行。如防护的设备类型仍然是以防火墙和入侵防御系统等产品为主，在部署的方式上要求防火墙或入侵防御设备具备INLINE阻断安全攻击的能力，部署的位置可以旁挂在汇聚层或者是串接在核心层和汇聚层之间，同时对于设备的性能可扩展和稳定性等常规指标也完全适用。另一方面，在虚拟化环境下的云安全部署，因为可能存在多租户的服务模型，因此对于设备的虚拟化实现程度又有了更高的要求，除了常规的虚拟化实例进行转发隔离和安全策略独立配置外，还要求实现对于不同租户的独立的资源管理配置和策略管理。每个虚拟实例的管理员可以随时监控、调整本租户的策略的配置实现情况等。这些新的技术要求，对于虚拟化环境下的纵向流量防护有着重要的影响。

横向流量的安全防护。VM之间的横向流量安全是在虚拟化环境下产生的特有问题，在这种情况下，同一个服务器的不同VM之间的流量将直接在服务器内部实现交换，导致外层网络安全管理员无法对这些流量进行监控或者实施各种高级安全策略如防火墙规则或者入侵防御规则。在服务器的虚拟化过程中，以VMware为代表的虚拟化厂商，通过在服务器Hyper visor层集成vSwitch虚拟交换机特性，也可以实现一些基本的访问允许或拒绝规则，但是并没有也很难集成更高级的安全检测防护引擎，以实现VM之间的流量漏洞攻击的行为检测。

制定中的安全标准

2011年3月，早提出云计算服务的谷歌爆发大规模用户数据泄露事件，约有15万Gmail用户表示自己的所有邮箱和聊天记录被删除，而有部分用户则表示其账号被重置。2011年4月，亚马逊云数据中心告急，其内置的服务器大面积宕机，具体表现为亚马逊在北弗吉尼亚州的云计算中心宕机。2011年5月，微软的Office365电子邮箱服务中断，许多美国客户权益受损。这些只是众多云安全事件中的一部分，也难怪调查中一半的用户认为云不安全，而且用户的数据泄露和丢失问题不可避免。所以，对于极为敏感的企业核心数据，企业表示永远不会迁移到云端。常见的敏感数据为信用卡数据(66%)、客户身份信息(50%)以及法人所有权数据(专利、调查文档等)等。

目前，美国联邦风险和授权管理项目(FedRAMP)正试图出台一套云安全标准，以便于公司评估第三方云服务提供商。该标准目前还没有被公布，FedR A MP还在紧张的讨论中。第二个方案是通用保障成熟度模型(CAMM)，其目的是开发出一套评分系统。该系统与数据中心电源使用效率(PUE)并没有太大的区别。

云计算是一场历史性变革，它带来旧模式的打破和新模式的建立，云安全风险相应增加，伴之而来的是安全市场变得更大。面对产业变化，安全厂商该如何迎接这场新的挑战，抓住新的发展机遇？在云计算时代，安全厂商应提供更好的服务帮助用户进行智能化风险管理，对潜在的安全威胁要及时的预警，迅速捕捉到新的威胁动态，以新的思路为用户提供安全服务，并将新的想法进行工具化，落实到具体的安全产品或方案上。