拨开云计算安全的迷雾
目前的IT界已经到了言必称云计算的程度了,但是疑惑的大多数(尤其是IT用户)依旧对此持有疑虑,通常认为还没有到使用云计算的时候。为什么还没到时候?因为安全,因为目前的IT产品基本还能解决企业用户现有的问题,因为用户需要看到云计算成熟的应用案例……
但是关键就在于,云计算是一种比起传统IT架构来说,更优的解决方案。打个比喻就是说,当你可以在自己家里打开水龙头就能获得自己需要的水时,你基本不会愿意去寻思如何在院子里打井取水。这种随需索取、按需付费,无需前期投入大量基础设施资源的优势正是云计算在业内广为推崇的根本原因。因此,企业客户已有的IT产品不是阻碍企业应用云计算的必然阻碍。而企业都是希望获得市场先机的,节约成本、降低复杂性对于企业来说就是获得市场先机的方法之一,云计算正是能够帮助企业获得先机的一种技术。因此,对于企业来说恰恰需要先于竞争对手采用最新的技术,而不是完全等待别人都已经使用之后才进入。所以,安全才是云计算普及最大的阻碍。
包括Forrester、Gartner等众多专业调研机构的报告都显示用户采用云计算的最大顾虑是云计算的安全问题。但是,对于云计算安全的鼓顾虑在很大程度上,是对于新技术的本能的安全疑虑,那么在我们决定云计算安全是否真的有这么大的威胁之前,我们需要弄清楚,云计算的安全具体是什么样的安全问题?
要回答这个问题,我们需要了解云计算安全和传统IT安全的异同。实际上,两者有很多相同之处,它们最终的目标都是为了保护数据的完整性,保护的对象也都是计算资源、存储资源和网络资源,而且其采用的技术也非常类似,如传统的加密解密技术、相同的安全基础设施、IDS/DPI等基础防护手段。
与传统IT安全比较,云计算特有的安全问题主要有三个方面。
第一是虚拟化环境下的技术及管理问题。传统的基于物理安全边界的防护机制难以有效保护基于共享虚拟化环境下的用户应用及信息安全。另外就是,云计算的系统如此之大,而且主要是通过虚拟机进行计算,一旦出现故障,如何快速定位问题所在也是一个重大挑战。
第二是云计算这种全新的服务模式将资源的所有权、管理权及使用权进行了分离,因此用户失去了对物理资源的直接控制,会面临与云服务商协作的一些安全问题(主要是信任问题),如用户是否会面临云服务退出障碍,不完整和不安全的数据删除会对用户造成损害,此外,如何界定用户与服务提供商的不同责任也是很大一个问题。
第三,云计算平台导致的安全问题。云计算平台聚集了大量用户应用和数据资源,更容易吸引黑客攻击,而故障一旦发生,其影响范围更多,后果更加严重。此外,其开放性对接口的安全也提出了一些要求。另外,云计算平台上集成了多个租户,多租户之间的信息资源如何进行安全隔离、服务专业化引发的多层转包引发的安全问题等。
这三个问题总的来看包括云计算安全技术的挑战,服务供应商及用户如何进行相互协作的管理方面的挑战,以及其跨地域性、多租户、虚拟化等特性带来的政府信息安全监管、隐私保护和司法取证等方面的挑战。而这些问题看似复杂,但都能一一化解。
在技术方面,主要是虚拟化安全、数据安全和隐私保护技术,同时构筑完整的安全防护体系。
虚拟化安全技术目前已经比较成熟,包括趋势科技与VMware合作共推为虚拟化架构的无代理安全防护技术,Check Point的虚拟化环境下的流量监测等等。对于虚拟机的安全隔离、虚拟机镜像安全管理,虚拟化环境下的通信安全,虚拟化和物理安全设备的统一管理和可视化都已经有了相关的解决方案。
数据安全和隐私保护工作实际上在传统的IT安全中已经有比较成熟的安全技术,诸如数据隔离,数据加密解密,身份认证和权限管理,保障用户信息的可用性、保密性和完整性。
在安全防护体系上,需要构建包括底层架构安全(通过完善、规范服务器虚拟化安全、网络虚拟化安全、存储安全、高可用性要求以及虚拟化安全管理相关配置要求,构建逻辑安全边界,保障虚拟环境安全。)、基础设施安全(完善对底层资源的调度和分配机制,防止用户对底层资源的过度占用;引入沙箱隔离技术,实现不同应用程序间的相互隔离)、运营管理安全(通过动态的安全环境来提高他的安全性)、信息安全层面(通过数据的隔离,加密传输,加密存储这些技术手段为用户提供端到端的保护)。
对于用户与服务商之间相互协作的问题,狭义上可以通过服务商定期为用户提供安全策略自配置、定期的安全报表、主动安全预警、安全审计等安全服务,提高用户的安全感知度。在广义上,则需要相关云安全标准和评测体系的完善,安全标准和评测体系能够帮助用户与服务提供商就相关的服务水平的协议内容达成一致。在这个方面,云安全联盟(Cloud Security Alliance)、IEEE、IETF等众多第三方组织将进一步推进这些工作。
政府机构的信息监管、隐私保护等相关制度的出台,将维护行业的健康持续的发展,对企图违规操作的行为起到威慑和惩戒作用。当然,纵观IT技术的发展历程,政府的相关政策通常是滞后于社会实践应用的,因此这一点并不是云计算采用最大的障碍。
经过以上对于云计算安全问题的梳理和解决方案的探讨,我们发现云计算安全并不是我们想象得那般不可逾越。正如EMC公司信息安全事业部RSA执行主席亚瑟·科维洛所说的那样,用户无需过度疑虑云计算的安全技术,实际上有比我们想到的多得多的安全技术能够用于保护云计算的安全。云安全广泛应用的时代渐行渐近,云计算安全已不再是立在云计算应用的一座大山,而是一块几方合力可以搬动的石块。