构筑安全“云-管-端”

通信产业报记者 逄丹 卢子月 伊佳　　在整个“云-管-端”的架构中，最容易受到攻击的是端。一些用户认为“云”不安全而抗拒使用，其实往往是用户自身对安全重视程度不高，导致账户密码被窃，从而带来相应的安全危险。　　《通信产业报》(网)：云计算在给人们的生活带来便利的同时，也带来了很多信息安全方面的挑战。您认为云计算面临哪几方面的安全问题？　　林育民：云计算将面临以下十个方面的安全问题：第一，黑客入侵云端服务器，窃取数据；第二，云服务提供商内部员工窃取客户敏感数据；第三，使用同一云服务供应商的其他客户，意外取得或窃取敏感数据；第四，云端资源遭到恶意滥用，被用来滥发垃圾邮件或做为恶意主机等；第五，将特定敏感数据传输至位于国外的云数据中心时，可能违反本地法律；第六，外国政府可以未经客户授权读取当地云数据中心内的数据；第七，客户不易对云服务提供商的安全控制措施和访问记录进行审计；第八，云服务供应商设备管理不完善，导致服务中断；第九，云服务供应商倒闭，无法继续提供服务；第十，用户账户密码被窃，云服务资源遭到盗用。　　需要注意的是，在整个“云-管-端”的架构中，最最容易受到攻击的往往是端。目前对于很多用户来说，他们认为是“云”不安全而抗拒使用云服务，其实往往是他们本身对安全重视程度不高，导致账户密码被窃，从而带来相应的安全危险。　　RamprasadKan：把一般网络的数据安全风险与云计算的数据安全风险区分开来这很重要。云计算方面的主要风险是丢失访问数据(云服务提供商的服务可能下降)并且对服务提供商数据中心的安全实施质量缺乏透明度。　　吴航：信息资源集中化使得安全风险集中化，所以云计算需要考虑到高可用性的设计；虚拟化下安全与实体安全差异很大，传统的安全解决方案无法满足虚拟化的需求，所以需要更加灵活的解决方案，如可以运行在VmwareEXSServer上软件形态的安全网关用于保护虚机之安全；如同实体安全一样，虚拟化下安全也需要全面的多层次的防护，从应用到主机，从端点到网关，从硬件到软件，从网络层到应用层。　　《通信产业报》(网)：通过云计算将用户的资料都集中到一个地方存储，这会不会增加了黑客攻击的目标性，使得存储的风险更大？　　林育民：集中未必就比分散受到更多的攻击风险。相反的是，在云计算背景下，企业将用户的资料集中起来，相应地也会建立集中式的防护机制。而以前的传统做法是，由于大型企业有很多分支机构，他们需要在每个分支机构都要放防火墙之类的安全设备，导致安全设备臃肿，不利于管理，从而发生危险的可能性变得更大。而现在部署了集中的防护机制后，使得安全保护更加简单高效，同时使得企业安全保护成本大幅度降低。从而有时间和资本去投入更多新的防御机制的建立中。　　RamprasadKan：在技术上，云存储拥有成熟的隔离技术，可以为即使共享的数据存储提供隔离。重要的是，企业公共云架构的主机应用程序这种信息模式的数据不能被外部应用程序访问，这将降低黑客攻击风险。所有数据都不会存储在同一位置，云服务供应商把数据存储在多个区域以提供数据安全可靠性。　　《通信产业报》(网)：用户将自己的信息交给云计算服务提供商，是否会有这样的风险：云服务提供商将有可能窥视所有用户的信息？您认为建立用户与云服务提供商之间的信任需要具备哪些因素？云计算服务商如何保障用户的隐私安全？　　林育民：确实存在这种情况。不过，用户肯定会选择信誉度高的云服务提供商的服务，这些服务提供商一般都通过ISO27000和SAS70TYPEII国际安全标准的验证，一般都具有较高的安全信誉等级和完善的安全保护措施。　　此外，用户还可以通过事后审计等各种措施来验证云服务提供商的安全性。目前，云服务提供商一般都提供了更为安全的数据保护措施，例如使用Google的Gmail邮件服务，Google会提供给用户两个密码，其中一个密码由用户自己来设定，是静态密码，与此同时，Google还会随即发送给用户一个动态密码，这个密码一般几十秒就会更新一次，而且是发到用户的手机上。这样，即使黑客成功攻击了用户的PC，但由于没有手机上的密码，同样无法获取用户的资料。　　《通信产业报》(网)：云计算的安全问题已经成为信息安全领域的新课题。您认为云计算为信息安全领域的发展提供了哪些新的机遇？您认为应该从哪几方面研究来提升云计算的安全性？　　RamprasadKan：IT服务提供商将在云安全服务方面发挥重要作用。多个公共云服务和内部自建企业IT(应用程序和基础设施)的整合需要管理、降低风险以及法规管理。IT服务提供商可以通过位于客户端技术管理各个方面的云安全。云服务的一些例子还包括动态数据泄漏检测、报告和跟踪、身份识别和访问管理、敏感数据的标记化、应用程序及网站的妥协检测。　　如今的成熟技术可以确保网络数据和其他数据的安全。云服务提供商在数据中心执行技术的透明度(针对客户)非常重要，这些技术执行包括数据备份、灾难恢复、他们保存数据的位置以及为审计访问数据提供的各项设施。这种透明度将带给客户一定程度的信任感和安全感。除此之外，监管机构可以指定政策框架和标准化。云服务提供商也应该能够提供合同担保，并愿意承担数据丢失和其他代理商访问的惩罚条款。　　吴航：虚拟或云计算多为资源和系统的整合与集中，这就要求虚拟化下的安全解决方案要实现对虚拟环境下的流量情况，攻击情况，用户访问情况可视化和可控化；应对虚拟化技术将IT系统实施与变更周期较之以前数百倍的减少，需要新的业务流程与规范来应对；资源的集中对硬件、设备自身的性能与高可用性技术带来更高的要求。　　林育民：云计算即带来了云的安全问题，同时也给安全的发展带来了新的机遇，即“安全云”。对于安全厂商而言，云计算的引入可以极大的提升其对病毒样本的收集能力，减少威胁的相应时间。云计算在安全领域的应用可以极大的促进传统安全行业的变革，安全厂商也可以实现“软件+服务”的营销模式。例如，赛门铁克就在国外提供了“安全云”服务，受到很多用户的青睐和租用。　　《通信产业报》(网)：电信运营商一直强调自己提供的服务是电信级的，相对于IT服务更具有质量保障。您认为在提供云服务方面，电信运营商有哪些优势？　　RamprasadKan：电信运营商拥有的IT服务优势将是该网络的所有权，然而，IT服务商了解企业应用和企业的业务流程需要。新兴的云模式将展现一个电信和IT服务提供商的合作伙伴关系模式。电信作为独立软件运营商与IT服务提供商将创建一个新的云生态系统。　　林育民：电信运营商具有不可比拟的网络资源优势，这为其提供云服务带来了极大的便利。此外，电信运营商在多年的网络运营中，积累了丰富的运维经验，培养了一批高质量的技术人员，这都是很宝贵的资源。