人无信不立,云同样如此。不久之前发生的支付宝故障和携程官网瘫痪等事件再次将信息安全推至风口浪尖。技术从来都是把双刃剑,在提高生产力的同时,也使得安全更为脆弱。
这一点在云计算领域表现的尤其明显。云计算将资源集中在一起,可以想象,一旦发生安全问题,那么所有的服务将不可用。全球首屈一指的云服务提供商亚马逊,曾经在一年半的时间内发生过5次云服务器宕机的事件,导致许多网站无法正常访问。
而随着越来越多的云落地,针对云服务的攻击越来越多。在国家互联网应急中心(CNCERT)4月底发布的《2014中国互联网安全报告》中指出,云服务日益成为网络攻击的重点目标。
报告指出,2014年先后发生了多起因电力、机房线路和网络故障导致的云服务宕机事件,针对云平台的攻击事件也逐年增多,仅由CNCERT协助处置的大规模攻击事件就达十余起,涉及UCloud公司、浙江宁波某IDC机房等国内云平台。
师夷长技以制夷。国内诸多互联网厂商提出“云安全”的概念,借云之力保护云服务的安全。他们的计划是,通过大量客户端对网络中软件行为进行监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
“将整个互联网,变成了一个超级大的杀毒软件,这就是云安全计划的宏伟目标。”在百度百科中给出了这样的解释。
传统的安全厂商则是通过传统安全产品虚拟化的方式,为云服务提供商和云用户提供灵活的、可扩展的安全防护。
“坦白来说,和传统IDC安全不同,云安全还处于起步阶段,市面上没有十分完善和成熟的解决方案。不过,随着越来越多厂商加入云安全的生态圈,相信云服务的安全方案也会渐趋成熟。”来自中国联通云计算公司的一位专家向记者表示。
攻击升温
事实上,自云计算诞生以来,云服务的安全问题就伴随其左右,并成为其走向规模商用的最大掣肘。早在2010年5月,埃森哲与中国电子学会共同发布的一份名为《中国云计算发展的务实之路》的报告指出,“安全问题是全球对云计算最大的质疑。而这种担忧在中国尤为突出,以至于首席信息官们如履薄冰,特别是面对公有云服务时。”
阿里巴巴集团安全部资深专家魏兴国表示,当前云计算面临着非常恶劣的网络环境。报告显示,在国外的主流云服务提供商中,他们的云主机很大比例都是被入侵过的云主机,而且很多用户对入侵完全不知情。
魏兴国说,事实上,阿里云遭遇攻击的频率也非常之高。就DDoS攻击来说,每周就有2000次左右的攻击,而且每次攻击流量都很高;密码破解类的攻击则每周发生上亿次。
就在6月18日,阿里云安全在微博上透露,当天阿里云用户遭受多次超大流量DDoS攻击,攻击峰值接近300Gbps,此次被攻击的阿里云用户多属于电商行业。
尽管通过流量清洗等技术手段成功化解了攻击,但是可以看到,未来云服务遭受攻击次数将逐步上升,可能一天之内就会发生多次攻击。
“针对云服务的攻击将会越来越多。而且DDoS和APT攻击将成为主要的攻击手段。”IDC安全领域分析师王培接受记者采访时表示。
安全狗给出的分析报告显示,针对云服务器的攻击类型主要包括三种。一是针对云服务器上应用系统的攻击,这类攻击也是在所有攻击中占比最高的;二是针对云服务器远程登录密码的暴力破解攻击;三是针对云服务器的DDoS攻击。
2014年,全球范围内的云服务出现了大量的DDOS攻击事件。12月中旬,某大型互联网服务商的云平台上一家知名游戏公司遭受DDoS攻击,攻击峰值流量超过450Gbps。
与此同时,《2014中国互联网安全报告》指出,除了DDoS攻击之外,钓鱼站点逐渐向云平台迁移。云服务申请和使用方便、成本低廉、安全审核不严,且云平台同时承载多种不同类型的业务,传统基于IP地址的追踪处置手段难以适用,日益成为钓鱼网站栖息的“温床”。
《2014中国互联网安全报告》针对2014年处置的银行类钓鱼网站分析,按所承载的钓鱼网站数据排序,排名前十的IP地址有4个属于云服务提供商。报告认为,云平台的逐步普及,将加大数据泄露和网络攻击风险,防护措施和管理机制有待完善。云计算技术的发展推动数据的集中化,在大数据时代,海量数据既是企业和用户的核心资产,也成为网络攻击瞄准的目标。以窃取数据为主要目的的攻击事件将越来越多,云平台自身的网络安全防护特别是对海量数据安全的防护将面临挑战。
值得一提的是,云安全事件频发和企业云平台缺乏安全审核和管理机制也有着很大的关系。专家指出,目前大多数云服务商的安全审核机制并不完善,用户租用后作何用途,云服务商并不清楚知晓,也未作严格审核或周期性检查,因此出现黑客在云平台部署钓鱼网站、传播恶意代码或发动攻击的情况,如不及时加强管理,未来这种现象将继续增多。
师夷长技以制夷
从云计算诞生那天起,安全厂商就开始投入到云相关安全产品的研发中去。而最早提出“云安全”概念的是趋势科技,2008年5月,趋势科技在美国正式推出了云安全技术。
由于安全是内生问题,将云安全作为一个单独的事物对待,在当时曾经引起了广泛的争议。这个现象在百度百科上也可以查阅到:云安全的概念提出后,曾引起了广泛的争议,许多人认为它是伪命题。
事实胜于雄辩,云安全的发展像一阵风,瑞星、趋势、卡巴斯基、McAfee、赛门铁克、江民科技、金山、360安全卫士等都推出了云安全解决方案。
这些以纯软件为主的安全厂商倾向于借助互联网的力量和云本身的优势来保护云的安全。他们对于云安全的策略构想是使用者越多,每个使用者就越安全,因为如此庞大的用户群,足以覆盖互联网的每个角落,只要某个网站被挂马或某个新木马病毒出现,就会立刻被截获。
同时,利用“云安全”体系,杀毒软件能够更快地收集病毒样本,更快地对病毒进行处理,并能在网络威胁到达用户电脑前就对其进行阻止,反病毒的效率大大提升,而且将更为智能化,带来更完善的用户体验,最终目的可让互联网时代的用户都能得到更快、更全面的安全保护。
而传统的硬件安全厂商则开始推动安全产品的云化,虚拟防火墙就是安全产品云化或是虚拟化的代表产品。例如,以前防火墙和入侵监测等安全设备都是以盒子的形式和服务器一起共同放到一个机架上,云化之后,这些产品就以虚拟机的形式存在。
“未来,安全产品将逐步软件化,特别是随着NFV和SDN的逐步应用,安全产品就更多以软件形式存在。”上述中国联通云计算公司的专家向记者表示。
云计算的发展推动了大数据的应用。反过来,借助大数据,可以在很大程度上提升云的安全性。
“要从本地网络流量中发现未知威胁,相对于互联网世界而言,仿佛研究森林中的一篇叶子,效率很低。因此,与其研究一片叶子,不如研究整片森林。”360副总裁谭晓生表示,“只有通过对互联网海量多维数据的分析、挖掘和关联,才能真正解决从被监控流量中快速发现未知威胁的难题。”
无疑,大数据将在未来云安全领域扮演着重要角色。
值得一提的是,将安全作为一种服务也逐步受到业界的青睐。目前,阿里巴巴、腾讯和百度三大互联网巨头都在推广这一服务理念,例如阿里巴巴的云盾就是典型的安全即服务(Security asa Service)。与此同时,涌现出越来越多的厂商,推出安全即服务。
IDC认为,安全即服务产品的优势在于“价值生成时间”(Time to Value)短、对变化(签名、文件、更新、代码修复等等)的反应时间短、供应商的配置成本低、客户的使用成本低。
王培告诉记者,目前中小企业倾向于采用安全即服务的模式,而大企业特别是金融、电信等行业还是倾向于自建云数据中心安全体系。
重塑生态链
正如云计算重塑生态链一样,云安全也在重塑生态链。
谭晓生表示,云服务不是零和博弈,云计算的复杂性超出了一家企业的掌控能力;安全威胁是云计算产业链中所有人的敌人。“因此,只有合作才能共赢,赢得云安全。”他说。
于是,越来越多的厂商选择合作,共建云安全生态体系。2013年年底,安全宝和腾讯云开展战略合作,今年3月,华为和安全狗合作,安全狗产品及“安全狗加固系统环境”服务入驻华为云应用超市。诸如此类的合作案例还有很多。
技术之外,建立云安全标准体系也成为云安全的一条必经之路。云安全联盟(CSA)常务董事吉姆·雷维斯认为,由于企业迁移到云中的速度变得越来越快,建立安全标准已经成为不可忽视的头等问题。他进一步指出,尤其是虚拟化和云计算让越来越多的数据和资产都集中到单独的基础设施上,带来风险集中的问题需要被认识到。
国内云计算专家指出,目前云安全的标准化尚处于初级阶段,我们要尽快开展云安全标准研究,填补国内外云安全标准空白。
本文作者:佚名
来源:51CTO