云安全帶給邊界突破的新挑戰(zhàn)

    近年來，隨著云計算的興起，云安全也成為一個時髦的話題。在各種公開場合，安全廠商幾乎都會給自身的新產(chǎn)品貼上“云”標簽。和整個IT領域一樣，安全界也人“云”亦“云”。

    不過，仔細想想云安全，似乎沒個統(tǒng)一說法，各家所言可能只是其中一方面，采用某一個廠商的單一云安全產(chǎn)品也不能實現(xiàn)真正意義上的云安全。但云安全絕非一股時髦的風，隨著云計算研究和應用的深入，云安全將給安全領域帶來一場變革。

云安全的三層含義

    談云安全之前，有必要理清一下云安全的概念。云安全主要包含三層含義：

    第一是如何保護云計算的環(huán)境，也就是如何保護SPI等不同的云計算環(huán)境。比如說某企業(yè)要建一個私有云，那么如何保證這個私有云的安全性，這就是保護云計算環(huán)境的安全性。這涉及到對云數(shù)據(jù)中心的保護環(huán)節(jié)，這體現(xiàn)了云計算安全的基本內(nèi)涵，一般將這層含義稱為“云計算安全”。

    第二是如何利用云給用戶提供服務。電信運營商或安全服務提供商可以建一個云，通過云把安全當成一種服務提供給客戶。比如通過云提供電子郵件的垃圾郵件過濾、病毒過濾、郵件服務持續(xù)性、歸檔等，在全球范圍內(nèi)已經(jīng)是一項非常成熟、廣為客戶接受的安全服務。這類服務一般稱為“云安全服務”(Security as a Service，SecaaS)。

    第三是如何利用云的技術增強安全防護的技術能力，比如采用位于云端的數(shù)據(jù)庫對病毒的識別和防范能力進行增強。目前很多安全廠商所謂的“云安全”主要指這個意思。但是這種概念不僅局限于病毒防范，在很多領域比如防入侵、郵件安全、Web安全都可以很好地運用云的技術進行防護能力提升。我們可以稱這類能力為“云安全智能”。

    通常，很多安全廠商指的云安全只包含其中某一方面，只有全面理解了云安全的概念內(nèi)涵，才可能更深刻地理解云計算帶來的安全挑戰(zhàn)。

邊界突破

    云計算帶來的安全挑戰(zhàn)，首先是帶來了邊界突破的問題。新的IT環(huán)境下，應用邊界、服務邊界、資產(chǎn)邊界都將被突破。

    具體說來，一個是應用的邊界。因為云計算及IT的變化，使得現(xiàn)在IT的應用基本上只是一個想象力的，沒有任何技術性，這在以前不可思議。以前要把好的想法或者真實的問題用IT技術解決，肯定會想很多東西，會被IT框住，現(xiàn)在這個邊界都打破了，有好的想法立刻可以實現(xiàn)，包括后面的數(shù)據(jù)。而且，因為云計算帶有很多新的idea可以引入到應用行業(yè)里，比如未知信息，個人身份信息都可以納入到里面去，應用很多，所以應用完全突破了。

    另外一個就是服務的邊界。你想做什么都可以，不僅僅是企業(yè)內(nèi)部員工，你完全可以找第三方人來做。比如做一個分析的系統(tǒng)，用手機可以看到項目的進展情況，可以找第三方，直接把這個應用提供給我，不用買服務器，不用終端，直接買服務。為什么第三方愿意做呢？因為通過服務他可以有收入。

    第三個突破是相關資產(chǎn)邊界的突破，就是企業(yè)內(nèi)部IT對資產(chǎn)的概念、邊界模糊了。現(xiàn)在很多東西不是你所擁有，你真正擁有的是里面的信息和數(shù)據(jù)。所以云計算也好，社交網(wǎng)絡也好，移動互聯(lián)網(wǎng)也好，確實給移動信息帶來了很大的推動，但對安全挑戰(zhàn)也非常巨大，幾乎是顛覆性的。

    云計算帶來的另一個安全挑戰(zhàn)，是對用戶數(shù)據(jù)中心的挑戰(zhàn)：數(shù)據(jù)中心網(wǎng)絡設計的扁平化和高速化，逐漸從傳統(tǒng)多層數(shù)據(jù)中心網(wǎng)絡向平面網(wǎng)絡架構(gòu)過渡，平面網(wǎng)絡架構(gòu)使用基于數(shù)據(jù)流、非攔截、最短路徑結(jié)構(gòu)來最大限度地提升網(wǎng)絡性能；相對于傳統(tǒng)數(shù)據(jù)中心，云化的數(shù)據(jù)中心內(nèi)部之間的流量將會大大增加。云數(shù)據(jù)中心內(nèi)部系統(tǒng)的虛擬化將引發(fā)新的安全問題，同時，訪問數(shù)據(jù)中心的客戶端設備具有移動化趨勢。此外，云化的數(shù)據(jù)中心和高速的Internet出口帶寬也會被黑客利用作為攻擊跳板，從而可能會給用戶帶來新的互聯(lián)網(wǎng)邊界責任風險，這就要求用戶對云化的數(shù)據(jù)中心外發(fā)的數(shù)據(jù)流量也要進行嚴格的入侵分析和過濾。

    過去，網(wǎng)絡信息的監(jiān)控可以用網(wǎng)管設備來滿足，在虛擬化時代，同一個主機上的虛擬系統(tǒng)互相訪問則不會經(jīng)過這些過時的網(wǎng)管設備。再有，傳統(tǒng)物理時代能夠用“拔網(wǎng)線”這樣的手段立即中止網(wǎng)絡形式的病毒爆發(fā)，在虛擬化時代這樣的策略已經(jīng)是不符合新的系統(tǒng)形態(tài)。而且邊界式的保壘式防護在云計算時代也隨著邊界定義模糊、消失而不再適用。

    綜合來講，數(shù)據(jù)的集中、系統(tǒng)的虛擬化、業(yè)務應用的物理分布、訪問端點的移動化和消費化，等等趨勢，無一不對用戶的安全建設提出了更高的要求，同時也對傳統(tǒng)的安全理念發(fā)起了挑戰(zhàn)。

云安全，有哪些防護重點?

    云計算帶來了諸多新的安全挑戰(zhàn)，作為安全廠商，防護重點是什么呢？

    在保護云計算環(huán)境的安全性方面，也就是“云計算安全”方面，有很多技術工具和產(chǎn)品可以沿用以前的技術手段。但是由于云計算環(huán)境引入的一些技術因素和地理因素，導致用戶對安全產(chǎn)品的選擇需要具有新的標準。云計算環(huán)境中會導致一些傳統(tǒng)的安全產(chǎn)品不再有效。這里容易忽略的是，新技術對舊技術的向下兼容不足以代表無需在新技術上調(diào)整，或生根地步的優(yōu)化。對于新技術應采用結(jié)構(gòu)性的“集成”，而非應用性的“兼容”。

    云計算廣泛采用的虛擬化技術，可能會導致諸多問題：對虛擬機環(huán)境下的安全域劃分需要重新定義和隔離、一個物理計算機上面可能會出現(xiàn)隸屬于不同安全域的虛擬機、虛擬機的惡意代碼防護可能會導致AV風暴、停用虛擬機再次上線可能會導致因病毒特征文件過期形成安全薄弱環(huán)節(jié)、異構(gòu)虛擬化平臺的統(tǒng)一安全管理，等等。此外，由于云計算數(shù)據(jù)中心的網(wǎng)絡結(jié)構(gòu)趨于高速化和扁平化，對于網(wǎng)絡入侵防御設備在加載規(guī)則情況下的處理性能也提出了更高的要求。而且，由于云計算技術得到了更加廣泛的關注和推廣，企業(yè)應用日趨遷移到云計算數(shù)據(jù)中心中，導致企業(yè)用戶在企業(yè)內(nèi)部網(wǎng)絡和位于Internet上的云數(shù)據(jù)中心之間的業(yè)務交換日漸頻繁，因此，如何有效地保證數(shù)據(jù)交換服務的安全性，比如XML的安全性、身份認證、授權等，將是安全領域研究者和安全廠商面臨的新的安全問題。

    “云安全智能”主要體現(xiàn)在安全廠商如何利用云的技術增強自身的產(chǎn)品對新出現(xiàn)的威脅的響應能力。由于混合型威脅的快速演變，以及APT(高級持續(xù)性威脅)的日益盛行，只有對安全威脅的各種向量都能夠全局了解才有可能做出合理的響應。為此，有知名的安全廠商對IT部門提出了如下要求：

    采取主動態(tài)度。企業(yè)IT部門在邁入云計算環(huán)境時需要采取一種更為主動的態(tài)度。當前更多的IT組織都在采取循序漸進、有條不紊的保守方式部署云計算。此外，IT負責人應把握好對安全性、可用性和成本等重要問題的控制，做到這一點需要事先對IT員工進行適當?shù)呐嘤柡蜏蕚涔ぷ鳌?/p>

    設置信息和應用層。并非所有的信息和應用都是在同一層面上創(chuàng)建的。進行分析并將信息和應用放置在各個層次，才能確定哪些能優(yōu)先進入云環(huán)境。

    評估風險并合理設置政策。確保關鍵信息只能被授權用戶訪問，且不得將關鍵信息帶出公司。同時，確保云服務提供商能滿足企業(yè)合規(guī)性的要求。最后，對潛在云服務供應商的運作能力進行評估，例如高可用性和災難恢復能力。

    立即開始行動。云計算的實現(xiàn)并非是一步到位的工作，充分利用云服務是邁入云環(huán)境的一個簡單的開始。盡管轉(zhuǎn)移業(yè)務關鍵應用的準備可能需要一些時間，但可以先從比較簡單的應用和服務開始部署。

新的起跑線，安全廠商如何占據(jù)高點？

    云計算給安全廠商帶來了新的機遇和挑戰(zhàn)。面對產(chǎn)業(yè)變化，安全廠商們將怎樣迎接挑戰(zhàn)？怎樣抓住新的機遇？

    賽門鐵克的安全專家給出了他們的看法：安全廠商要在新一輪競爭中贏得制高點，必須具備三點，第一要有新的思路，第二要有新的保護手段，第三要工具化。沒有威脅就談不上安全，對威脅的產(chǎn)生廠商要有及時的敏感預警，能夠迅速捕捉到新威脅的動態(tài)，以及具體是哪些新的威脅。目前智能還是一種知識，還需要變成智能，對知識要及時加工，把它變成一種產(chǎn)品和技術，使得能夠幫助用戶快速地更新防御體系中的能力，去識別、去應對、去預警這樣的威脅。對安全廠商而言，一方面的能力是快速獲取情報，另一方面必須快速地智能提升防御體系產(chǎn)生反應。此外還要有新思路，如SaaS類似于把安全智能變成云服務的客戶，因為客戶很難能及時更新他的知識庫，但是專業(yè)的云服務提供商構(gòu)建這樣一個智能體系是比較容易的，即把知識變成產(chǎn)品和服務的體系。

    很多人將云計算理解為信息安全廠商的一個新的起跑線，云計算的興起給信息安全產(chǎn)業(yè)帶來了新機遇，也帶來了很大的挑戰(zhàn)。很多傳統(tǒng)的安全防護思路會隨著云計算信息系統(tǒng)體系結(jié)構(gòu)和應用的變化作出調(diào)整和改變，云計算體系復雜，要解決的問題更多，因而對安全而言發(fā)展空間會更多，但若安全企業(yè)固守原有的技術和模式，終將被淘汰。只有那些能夠發(fā)揮原有優(yōu)勢，并勇于進行創(chuàng)新的企業(yè)，才有可能挖掘云計算時代新的安全需求并開發(fā)出相應的解決方案，最終在這個新時代占據(jù)信息安全產(chǎn)業(yè)新的制高點。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.lukmueng.com/

本文標題：云安全帶給邊界突破的新挑戰(zhàn)

本文網(wǎng)址：http://www.lukmueng.com/html/support/1112159397.html