安恒:云环境的安全挑战及防护

2013年5月16日第十四届中国信息安全大会在京召开,本届大会的主题是“信息安全新机遇——大数据,BYOD,SDN,云安全”。杭州安恒信息技术有限公司安全服务部总监刘志乐讲解了云环境的安全挑战及防护。

刘志乐:各位专家,各位领导早上好,很荣幸今天在这边跟大家一起交流云环境的安全挑战与防护。因为现在云整个谈的非常热,我今天分享只是我们公司对这一块看法和研究,我本人目前还有一个身份,我现在是安全服务部总监,也在国内外一些安全会议上发表过一些演讲。

云计算这一块本身这只是作为一个介绍,前面已经有很多嘉宾做了详细阐述,这个章节我也不会多说多少,主要基于互联网的相关服务的增加,去把过去的传统的进行一些虚拟化,主要的目的也是把过去各个分裂的资源数据,然后我们怎么样通过云的模式,形成一个更集中的,更好的服务。

实际上云计算目前这一块比较主流的微软、IBM等等,最终我们总结下来,无非就是说有三种模式,IAAS,PAAS,还有SAAS,这三种方式。云计算的数据中心主要就是说,未来比如说华为现在提出来的分步式数据中心DC2,简单说一些云,我们在云安全方面面临着一些什么样的挑战呢?在IAAS这里面是大量的基础的设施,然后通过虚拟化。但是这里面就会有一个问题,虚拟化的安全就会产生,然后引用了安全也会发生,所以说我们在虚拟化安全机制和分布式的系统控制上,对我们产生了一个挑战。

在PAAS这个模式下,应用它安全就无数不在,开放的接口,对接口的安全又提出了一些新的要求。所以说纳入平台安全以后,并注重接口的安全和进行代码的审计是在PAAS这个阶段对我们提出来的一个挑战。到了最高的,目前最高的境界,SAAS这个阶段,软件及服务,这个时候实际上是面向的应用层,给大家提供更好的应用环境,这样的话应用安全也是时刻的存在着,对于他后台的数据安全也提出了更高的一些要求,这是我们在SAAS面临的一些挑战。

谈到云计算,就谈到大数据,云计算的集中使得数据变得较以往更加的集中,而面临更多的一些挑战。所以说数据安全对于我们又提出了更高的一些要求,针对关键的数据如何去防止泄露,怎么样进行一个全方位的保护,这是我们在大数据这个时代所面临的一个挑战。

针对所有的云的几个阶段,我们有看到应用安全始终还是贯穿每一个层面,数据的集中,应用安全的无处不在,以及虚拟化的安全的挑战,快速的反应等等,这些都是我们所总结的云计算我们所发出来的安全的挑战。针对这些安全的挑战,作为我们安恒自身在应用安全和数据库安全有着多年的积累,我们也很早就开始对云计算的安全做了一些研究。我们的解决方案主要是在实现对云安全的一些可视,可控,可审计,以及对于云计算数据中心的审计方面为核心,然后为广大客户提供一个专业的安全产品和服务,并帮助降低客户面临的一些风险,加速云计算的普及。

我们也设计了一个安全的体系,通过策略体系,组织体系,然后技术体系,还有一些安全的运行体系,来实现体系上。在技术层面我们通过基础的一些支撑层,通过一些基础支撑保障与控制,然后在基础的网络层,通过网络核心的安全的保障,然后在边界的接入层,通过边界的保障和控制,在应用层通过应用系统和优化,在数据层通过边界安全的保障与控制,来通过所有的这些技术手段,来去实现。

最后在运维服务层,我们通过一些运维的手段,这是我们整个安全策略的一个模型。对于应用安全来讲,我们主要通过事前,在事前的安全威胁发生之前,通过应用的扫描工具,数据库的扫描工具,包括源代码的审计,QA测试,安全工具,对你的应用系统进行全方位的安全检测来进行结合人工的渗透技术,来发现你的系统可能存在的一些安全风险,来验证并且分析对你的提出威胁的弱点,然后进行一些安全的加固,然后对比在事前能够解决你的安全的隐患。

事中,你在已经发生的安全事件以后,我们怎么样迅速的提供一个应急响应措施,以最快的速度来恢复你的保密性,完整性和可用性,阻止和降低对安全威胁事件带来的严重的影响。

事后,我们以安全事件威胁的总结,得到控制,然后去对你的策略进行整改和完善,对你的整个系统进行全方位的防护。

在传统的应用安全的话,我们是通过边界的安全,比如说通过防火墙,应用防火墙来实现的。但是对于云环境下,这个时候对我们就提出来一个挑战,因为大家都知道云环境下,你的一些硬件设备,你没有地方给你接入,也没有地方给你去放,你也没有办法进行保护。这种情况下本身虚拟机之间存在着一些访问控制的问题,如何保障这些虚拟机的安全,实际上我们就提出来一个虚拟化的安全的理念。我们通过把传统的硬件防护的产品实现它的虚拟化,然后在云环境里面和其他的虚拟的环境同时存在,但是它的作用就是像过去的物理的防护产品一样,来达到对虚拟环境下的应用,来实现防护。

过去我们在应用层和操作系统,比如说过去有一个网络层,上面会有一个网关。我们通过虚拟化的网关,来实现整个架构上面的一些安全问题,这是我们画的一个示意图。对于云计算的数据中心,我们主要是要怎么样使得他的风险集中,正因为风险集中,我们怎么样快速的反应,这样时候要有一个优秀的系统。在云计算的CSA的安全指南当中也说到了这种是必须有的,所以说我们基于这个有了一个云计算,通过这个集中安全事件管理,来掌握你的全局的安全动态,然后并实现敏捷的应对。

对于数据中心的防泄露,我们通过数据库审计,数据库弱点扫描,WEB弱点扫描,来实现对过去针对过去产品防泄露。在云环境下面怎么样通过云的安全服务来实现云计算与云安全。我们提出来的是几个方面,一个是通过云监测,云审计,云防护,还有安全服务。前面也有专家说到了,未来可能在云的大数据时代,安全即服务,所以我们也看到这一块。

云监控就是说,通过云这种自动化的云的部署,然后对云里的应用系统是不是有木马,你有没有漏洞,有没有篡改,你的网页是不是被人家挂上了一些敏感的关键字。所以说我们通过这种访问,是不是具有实效性,实时可用性。我们安恒推出了基于SAAS的安全的监测平台,通过漏洞扫描,篡改监测,木马监测可用性,敏感词来实现你的7×24小时,对于你的应用系统提供集中的统一的安全监控。

云防护的话,就是说针对云环境下面,我们通过虚拟化的技术来实现过去,比如说这种对于应用防护的防止住你的各种的,比如说应用层上面的注入等等这些高危的漏洞。

针对云防护和传统的防护手段,我们可以在管理方式上,可以比过去有更加的灵活性,实际上主要就是通过这些方式,我们来实现对你几大方面,比如说你的帐户管理方面,身份认证方面,你的资源授权,还有访问控制,操作审计等等,这是云防护。通过云审计可以对你的内部用户是否合法的权限滥用,然后对你的合作伙伴是不是存在着合法的权限滥用,你的数据库软件的自身是不是存在着一些平台的漏洞或者说其他方面的一些漏洞,以及你的应用程序,跟你的数据库之间是不是有漏洞,通过这些来实现一个细力度的审计,这样通过我们所说的什么时间,什么人做了什么操作,做了多少次,他怎么样做了一些违规的行为等等,通过这样的话实现一个全方位的数据的审计。

最后谈一下安全服务,你有了前面所有的一些技术、产品的保障,最终还是需要通过一个专家型的安全服务,通过设备和人工相结合的模式来去最终对你的云的环境下的安全,去获得一个比较全面的保障。云环境下面的安全服务,首先包括一些漏洞的检测,漏洞的一些扫描,也包括一些模拟的渗透测试攻击来去发现你的整个的脆弱性。

我要讲的就是这些,因为时间到中午了,大家可能也比较饿了,我今天讲的也比较快。谢谢大家。

时间: 2024-10-13 17:46:49

安恒:云环境的安全挑战及防护的相关文章

云环境下实施灾备最大挑战是什么?

企业在云环境中实施灾备时,最大的挑战是什么? 云环境下灾备部署的最大挑战就是存储在云环境中的数据安全,尤其是在由第三方提供的存储解决方案中.由于很多客户和他们的数据通常都存放在云端,所以一旦提供云服务的系统遭到攻击,可能会影响到很多客户.这样,云服务提供商就应该确保其提供的云环境的安全性,比如,他们应该对所有的客户数据进行加密,还应该部署精密的分析工具以识别潜在威胁(比如分布式拒绝服务攻击).解决客户担忧的其中一个方法就是为用户提供一套混合解决方案,即将非关键数据存放在云端而把关键数据存放在本地

思科:安全成云应用普及最大挑战

本文讲的是思科:安全成云应用普及最大挑战,随着企业用户对于云计算认知大大提升和国家云计算政策引导,政府和企业用户纷纷加速云落地,大家都称之为政企云,但部署政企云面临的最后一道门槛是安全问题,该问题也引起各个行业以及企业部门的广泛关注.谈及政企云安全问题,不仅包括了IT基础设施,还包括了政企云平台上用户数据的安全.本次我们邀请了思科大中华区安全业务总经理庄敬贤先生,来对IT基础设施安全层面进行内容上的分享和解读. ▲思科大中华区安全业务总经理 庄敬贤 谈到政企云安全的市场格局,庄敬贤认为政企云的安

腾讯云:聚焦云中海量数据安全防护

当互联网成为人类无处.无时不在的物理连接以完成心灵的沟通时,当大数据以不同维度的数据集,增加人们对未知事物的可知.可测.可控的重建和再造时,云的诞生显得那么理所当然;当各大企业 纷纷投入到这片未见硝烟的战场时,腾讯又显得那么低调和谨慎.腾讯云背后的历史据悉,从2010年底3Q大战之后,腾讯便制定了一个开放策略,这便是腾讯云的前身.在早期的时候,腾讯方面只支持自己的开放平台的合作伙伴,并且已经初具规模."2011年的时候我相信我们云的规模是行业最大的,因为它增长速度太快了,我们有很多开发商从三五个

向云环境迁移过程中的数据安全性问题

2011年4月,亚马逊公司位于北弗吉尼亚州的云计算中心宕机,这导致使用亚马逊服务的回答服务Quora.新闻服务Reddit.Hootsuite和位置跟踪服务FourSquare在内的一些网站受到了影响.此次中断持续将近4天.为此亚马逊为宕机事件向用户发表了5700多字的道歉信,并且为受到影响的用户提供10天服务的点数. 2011年3月,谷歌邮箱爆发大规模的用户数据泄漏事件,大约有15万Gmail用户在周日早上发现自己的所有邮件和聊天记录被删除,部分用户发现自己的帐户被重置,谷歌表示受到该问题影响

剖析私有云需要哪些方面的安全防护?

(1)法律与合规管理 (a)安全策略 企业在导入云计算环境时,必须根据法律及业界规范,制定相关安全策略,包含: •云端服务使用规范(哪些业务和数据可以使用公有云服务?哪些只能使用内部私有云?) •云端服务备援方案 •云端数据备份方案 •内部私有云安全管理规范 •虚拟化环境安全防护 企业可以ISO27000做基础,参考CSA(CloudSecurityAlliance)提供的"云计算关键领域安全指南",制定完整的云端信息安全管理体系. (b)合规管理 企业制定了云端相关安全与管理规范,&

开发与管理在云环境中的不同

云计算的优点已经非常明显,主要体现在能够带来业务敏捷性.可扩展性.效率以及节省成本:而许多公司正在全力加快步骤,迁移和构建专门面向云环境的关键任务型Java应用程序.近日来,采访了AppDynamics 公司的工程技术主管Bhaskar Sunkara--一家专注于Java和云应用程序的应用程序性能公司,为云环境开发Java应用程序以及在云环境中管理这些应用程序面临的挑战,进行了探讨. 为云环境进行开发面临哪些挑战? 为云环境进行开发面临的主要挑战之一是,了解应用程序与服务的依赖关系(appli

企业在公共云环境中需确保安全

在某些情况下,企业在分析最有价值的和敏感的信息的过程中,需要减少潜在的未经授权的访问或http://www.aliyun.com/zixun/aggregation/18546.html">信息泄漏.在其他情况下,高度敏感的领域包含重要的信息需要分析,或者必须保持整个生命周期的分析.而在所有情况下,安全问题必须被首要考虑. 所以,当企业要在公共云环境执行分析时,要考虑这些数据在公共云环境下安全吗,能够像在一家数据中心一样安全吗?关于这个问题的答案可谓众说纷纭,但如下的有几个关键因素,值得您

这8种方法让你的云环境无懈可击 让勒索软件见鬼去吧!

本文讲的是这8种方法让你的云环境无懈可击让勒索软件见鬼去吧,云计算的发展推动更快的协作和数据传输,同样也让网络罪犯快速传播勒索软件提供了便利条件,面对这种严峻形势我们应该怎样去做呢?别慌,学会这8步,让你的云环境不再惧怕勒索软件! 保护云计算层 Evident.io公司创始人兼首席执行官Tim Prendergast表示:"你可以做的最关键的事情就是保护云计算层,这很容易自动化,对于初创公司和大型企业来说,这也容易实现." 保护云计算层可确保系统和数据的可用性,并防止攻击者利用你的计算

VMware实现基于VMware vSphere®的虚拟和云环境运行的应用安全转型

全球云基础架构和移动商务解决方案领导厂商VMware公司(NYSE: VMW)今天在VMworld 2017大会上,宣布推出旨在保护运行于虚拟环境或云环境的各种应用的突破性解决方案--VMware AppDefenseTM.该全新安全解决方案利用虚拟基础架构,根据正在运行的应用程序的预期状态进行监控,而且可以检测企图操纵应用程序的攻击并自动做出响应.VMware今天还宣布了与第三方解决方案的集成产品,它们将使合作伙伴生态系统能够充分利用VMware的AppDefense独一无二的应用可视化和反应