2013年5月16日第十四届中国信息安全大会在京召开,本届大会的主题是“信息安全新机遇——大数据,BYOD,SDN,云安全”。杭州安恒信息技术有限公司安全服务部总监刘志乐讲解了云环境的安全挑战及防护。
刘志乐:各位专家,各位领导早上好,很荣幸今天在这边跟大家一起交流云环境的安全挑战与防护。因为现在云整个谈的非常热,我今天分享只是我们公司对这一块看法和研究,我本人目前还有一个身份,我现在是安全服务部总监,也在国内外一些安全会议上发表过一些演讲。
云计算这一块本身这只是作为一个介绍,前面已经有很多嘉宾做了详细阐述,这个章节我也不会多说多少,主要基于互联网的相关服务的增加,去把过去的传统的进行一些虚拟化,主要的目的也是把过去各个分裂的资源数据,然后我们怎么样通过云的模式,形成一个更集中的,更好的服务。
实际上云计算目前这一块比较主流的微软、IBM等等,最终我们总结下来,无非就是说有三种模式,IAAS,PAAS,还有SAAS,这三种方式。云计算的数据中心主要就是说,未来比如说华为现在提出来的分步式数据中心DC2,简单说一些云,我们在云安全方面面临着一些什么样的挑战呢?在IAAS这里面是大量的基础的设施,然后通过虚拟化。但是这里面就会有一个问题,虚拟化的安全就会产生,然后引用了安全也会发生,所以说我们在虚拟化安全机制和分布式的系统控制上,对我们产生了一个挑战。
在PAAS这个模式下,应用它安全就无数不在,开放的接口,对接口的安全又提出了一些新的要求。所以说纳入平台安全以后,并注重接口的安全和进行代码的审计是在PAAS这个阶段对我们提出来的一个挑战。到了最高的,目前最高的境界,SAAS这个阶段,软件及服务,这个时候实际上是面向的应用层,给大家提供更好的应用环境,这样的话应用安全也是时刻的存在着,对于他后台的数据安全也提出了更高的一些要求,这是我们在SAAS面临的一些挑战。
谈到云计算,就谈到大数据,云计算的集中使得数据变得较以往更加的集中,而面临更多的一些挑战。所以说数据安全对于我们又提出了更高的一些要求,针对关键的数据如何去防止泄露,怎么样进行一个全方位的保护,这是我们在大数据这个时代所面临的一个挑战。
针对所有的云的几个阶段,我们有看到应用安全始终还是贯穿每一个层面,数据的集中,应用安全的无处不在,以及虚拟化的安全的挑战,快速的反应等等,这些都是我们所总结的云计算我们所发出来的安全的挑战。针对这些安全的挑战,作为我们安恒自身在应用安全和数据库安全有着多年的积累,我们也很早就开始对云计算的安全做了一些研究。我们的解决方案主要是在实现对云安全的一些可视,可控,可审计,以及对于云计算数据中心的审计方面为核心,然后为广大客户提供一个专业的安全产品和服务,并帮助降低客户面临的一些风险,加速云计算的普及。
我们也设计了一个安全的体系,通过策略体系,组织体系,然后技术体系,还有一些安全的运行体系,来实现体系上。在技术层面我们通过基础的一些支撑层,通过一些基础支撑保障与控制,然后在基础的网络层,通过网络核心的安全的保障,然后在边界的接入层,通过边界的保障和控制,在应用层通过应用系统和优化,在数据层通过边界安全的保障与控制,来通过所有的这些技术手段,来去实现。
最后在运维服务层,我们通过一些运维的手段,这是我们整个安全策略的一个模型。对于应用安全来讲,我们主要通过事前,在事前的安全威胁发生之前,通过应用的扫描工具,数据库的扫描工具,包括源代码的审计,QA测试,安全工具,对你的应用系统进行全方位的安全检测来进行结合人工的渗透技术,来发现你的系统可能存在的一些安全风险,来验证并且分析对你的提出威胁的弱点,然后进行一些安全的加固,然后对比在事前能够解决你的安全的隐患。
事中,你在已经发生的安全事件以后,我们怎么样迅速的提供一个应急响应措施,以最快的速度来恢复你的保密性,完整性和可用性,阻止和降低对安全威胁事件带来的严重的影响。
事后,我们以安全事件威胁的总结,得到控制,然后去对你的策略进行整改和完善,对你的整个系统进行全方位的防护。
在传统的应用安全的话,我们是通过边界的安全,比如说通过防火墙,应用防火墙来实现的。但是对于云环境下,这个时候对我们就提出来一个挑战,因为大家都知道云环境下,你的一些硬件设备,你没有地方给你接入,也没有地方给你去放,你也没有办法进行保护。这种情况下本身虚拟机之间存在着一些访问控制的问题,如何保障这些虚拟机的安全,实际上我们就提出来一个虚拟化的安全的理念。我们通过把传统的硬件防护的产品实现它的虚拟化,然后在云环境里面和其他的虚拟的环境同时存在,但是它的作用就是像过去的物理的防护产品一样,来达到对虚拟环境下的应用,来实现防护。
过去我们在应用层和操作系统,比如说过去有一个网络层,上面会有一个网关。我们通过虚拟化的网关,来实现整个架构上面的一些安全问题,这是我们画的一个示意图。对于云计算的数据中心,我们主要是要怎么样使得他的风险集中,正因为风险集中,我们怎么样快速的反应,这样时候要有一个优秀的系统。在云计算的CSA的安全指南当中也说到了这种是必须有的,所以说我们基于这个有了一个云计算,通过这个集中安全事件管理,来掌握你的全局的安全动态,然后并实现敏捷的应对。
对于数据中心的防泄露,我们通过数据库审计,数据库弱点扫描,WEB弱点扫描,来实现对过去针对过去产品防泄露。在云环境下面怎么样通过云的安全服务来实现云计算与云安全。我们提出来的是几个方面,一个是通过云监测,云审计,云防护,还有安全服务。前面也有专家说到了,未来可能在云的大数据时代,安全即服务,所以我们也看到这一块。
云监控就是说,通过云这种自动化的云的部署,然后对云里的应用系统是不是有木马,你有没有漏洞,有没有篡改,你的网页是不是被人家挂上了一些敏感的关键字。所以说我们通过这种访问,是不是具有实效性,实时可用性。我们安恒推出了基于SAAS的安全的监测平台,通过漏洞扫描,篡改监测,木马监测可用性,敏感词来实现你的7×24小时,对于你的应用系统提供集中的统一的安全监控。
云防护的话,就是说针对云环境下面,我们通过虚拟化的技术来实现过去,比如说这种对于应用防护的防止住你的各种的,比如说应用层上面的注入等等这些高危的漏洞。
针对云防护和传统的防护手段,我们可以在管理方式上,可以比过去有更加的灵活性,实际上主要就是通过这些方式,我们来实现对你几大方面,比如说你的帐户管理方面,身份认证方面,你的资源授权,还有访问控制,操作审计等等,这是云防护。通过云审计可以对你的内部用户是否合法的权限滥用,然后对你的合作伙伴是不是存在着合法的权限滥用,你的数据库软件的自身是不是存在着一些平台的漏洞或者说其他方面的一些漏洞,以及你的应用程序,跟你的数据库之间是不是有漏洞,通过这些来实现一个细力度的审计,这样通过我们所说的什么时间,什么人做了什么操作,做了多少次,他怎么样做了一些违规的行为等等,通过这样的话实现一个全方位的数据的审计。
最后谈一下安全服务,你有了前面所有的一些技术、产品的保障,最终还是需要通过一个专家型的安全服务,通过设备和人工相结合的模式来去最终对你的云的环境下的安全,去获得一个比较全面的保障。云环境下面的安全服务,首先包括一些漏洞的检测,漏洞的一些扫描,也包括一些模拟的渗透测试攻击来去发现你的整个的脆弱性。
我要讲的就是这些,因为时间到中午了,大家可能也比较饿了,我今天讲的也比较快。谢谢大家。