现如今,云安全已经成为影响云计算产业进一步发展的最重要因素。众所周知,企业采用云计算虽能给企业发展带来很多优势,但云计算自诞生之际就一直存在着安全问题,这正是很多企业没有采用云计算的原因,担忧数据存储在云端将发生泄露。
从2006年Google提出云计算开始至今已过去十余年,前几年业界还在讨论云计算浪潮何时到来,时至今日云计算已经渗透到了各个行业。报告显示,未来五年向云上转移将会直接或间接影响超过1万亿美元的IT开支。
我国云计算虽然起步较美国晚,但发展势头非常迅猛。据第三方统计,我国在云计算市场整体增速上要高于全球平均水平。《国务院关于促进云计算创新发展培育信息产业新业态的意见》、《关于加强党政部门云计算服务网络安全管理的意见》、《云计算发展三年行动计划(2017-2019年)》等政策和指导意见密集出台,可以看到我国云计算政策的主线依然是鼓励和加快发展,我国云计算产业发展、行业推广、应用基础等重要环节的宏观政策环境已经基本形成。
云计算的安全困扰
在业务上云的过程中,用户除了广泛关注云计算的稳定性、高性能等问题,云的安全越来越受到用户的重视。Forrest报告提到,71%的受访者计划在一年之内上云,而51%的受访者认为如果上云,首要考虑就是云上的安全。云安全已经成为影响云计算产业进一步发展的最重要因素。
云安全和传统的安全其实并没有本质完全的不同,云计算平台建设在数据中心,传统数据中心安全依然是云安全的重要组成部分。传统安全在云计算时代面临的最大挑战是要适配云计算环境动态化、软件化、虚拟化的特点。
1、云计算带来的边界变化:云计算技术让传统边界发生了变化,SDN、VPC、弹性扩展、动态迁移等技术打破了传统的网络架构,而过去安全基于传统网络和划分安全域,在出口上堆叠上防火墙等防御设备的时代已经不存在了。公有云、混合云的出现,则彻底将企业的安全边界扩展至了企业内网之外。而应对这种新的变化,首先要做的事情,就是重新构建弹性安全,重建云上的安全边界。
2、云计算带来的资产集中:云让数据资产更集中,形成了一个个数据金矿,更容易吸引黑客的攻击。
3、云计算带来的管理上的变化:云计算将过去分散的孤立的IT系统进行了集中,势必带来运维和管理的集中。从而将原来的角色和责任分工也冲击改变。
4、云计算带来的复杂度:复杂IT融合环境、SDN技术带来的控制和数据平面分开、弹性调度与动态迁移等,都给安全的配置与管理带来更大的复杂度;面对云环境中常态化的变化问题,静态的部署和策略配置基本无效。安全也要能够随着云的变化而动态调整,主要体现在:安全设备从硬件向软件化、虚拟化转变、跟随云资源变化,支持按需分配、弹性扩容与自动回收资源这两点。
云的引入,对现行的IT技术和IT管理都产生了深刻影响。所以在云安全的设计中,也要多方面考虑,做到技术与管理并重,建设与运营并举。
云安全管理考量
云安全从管理上考虑,首重合规。
这个合规,既有《网络安全法》等法律法规,又有一些行业指导要求,还要从云平台自身、云租户和监管要求三方面考虑。国内外机构近年来陆续发布多个云安全的相关标准,例如云安全联盟(CSA)的《如何保护云数据》,美国国家标准技术研究所(NIST)发布的《云计算安全障碍与缓和措施》、《公共云计算中安全域隐私》,CSA大中华区发布的《云计算安全技术要求》,以及国内等保标准里的《信息系统安全等级保护云计算安全扩展要求》等。如何建设云计算系统的安全措施,保证符合法律和合规的要求,是用户上云面临的重要的问题。
云安全管理第二要素是明晰云环境下的角色定义和安全责任分工界面。
各个角色安全分工,会影响到安全制度的修订,甚至管理组织架构的完善。以电子政务云为例,可以分为云建设、云监管、云使用、云承建、云安全服务五个角色。哪个角色是监管责任,哪个角色是使用责任,哪个角色应该负责安全等,都要明确指出其安全责任,并落实到日常工作中。关于云安全服务方,目前在云的建设中存在两种观点:一种是云建设方是总集,负责协调云安全服务方;一种是云建设和云安全分开,两个角色相互独立。目前后一个观点越来越被接受。因为云安全服务方作为一个特殊角色,独立于云建设方,双方的相互监督,相互制衡,会避免很多安全问题被“捂盖子”,这个对业主单位来说是非常好的。
云安全管理第三个要素是常态化运营。
在云平台的生命周期中,大规模建设和扩容通常时间较短,更多的是长期运营。运营如何能做到统一的、完整的、及时,要从多方面考虑。比如,安全运维包括资产管理、网络安全管理、系统安全管理等,但云上的资产管理是比传统资产管理要有难度的,因为云上的弹性扩展与动态迁移会带来资产频繁的动态变化。常态化安全运营需要通过安全管理中心覆盖安全运维、威胁发现、持续监测问题溯源及联动控制几方面,而这其中,人是运营的核心。
云安全技术考虑
自适应安全是Gartner定义的下一代安全体系,连续两年位列十大信息安全技术之一。在云环境下,由于系统的复杂性和云上应用的多样性,仅依靠防御的建设远远不够。特别是在“四个安全假设”【假设系统一定有未被发现的漏洞;假设一定有已发现但未修补的漏洞;假设系统已经被渗透;假设内部人员不可靠】前提下,云上的漏洞和一定被攻破的可能性,远比普通环境高。所以Gartner建议企业不要用分散的安全技术来应对多样化的安全需求,需要体系化的建设网络、终端、应用的全方位感知能力,在检测、响应、预测方面持续投入,并降低防御投入。
云把网络、存储、计算、数据、应用、管理、安全等等都集成在一起,构成了一个复杂又高度集成的IT系统。云的两个核心技术:虚拟化与调度管理。而云安全的研究也需要针对两方面分别考虑。虚拟化的安全研究目前比较多,比如针对虚拟机逃逸等方面的研究。如同SDN技术将控制与转发分开一样,针对云的控制层面的安全需求,则应有一个控制器(Controller),它实现对各安全NFV组件的统一管控与调度,把各种安全能力综合协同,通过两个控制平台层面的交互,实现资产以及防护策略的一致性,并通过网络将资源层打通,实现流量的灵活调度,完成整个云环境的安全防护,以支撑云安全上的常态化、智能化的安全运营与管理。
总结预测
云计算技术与服务模式依然在高速发展和演进中,未来我们预测混合云的形态会更加普遍,如何支撑混合云这种复杂场景下的安全,将是云安全的未来重点之一。随着越来越多的资产迁移到云上,云的规模与云上的数据安全也会越来越重要。随着云被更广泛的使用,未来爆发大规模云安全事件的风险也越来越大。随着云的常态化发展与使用,未来云安全将呈现一轮爆发式增长,在整个安全行业所占的比重也将增大。
在不久的将来,多智时代一定会彻底走入我们的生活,有兴趣入行未来前沿产业的朋友,可以收藏多智时代,及时获取人工智能、大数据、云计算和物联网的前沿资讯和基础知识,让我们一起携手,引领人工智能的未来!
(原标题:云计算安全问题的困扰及技术考量)