云時代的到來雖然為企業(yè)信息安全水平的提高提供了更為有利的條件,但并不意味著云計算就沒有給企業(yè)安全帶來挑戰(zhàn)。事實上,云計算時代,信息安全面臨著一些新的威脅,其中最為突出的就是虛擬化。
云計算是IT 產(chǎn)業(yè)的大趨勢,這一點已經(jīng)成為人們的共識。不過,要讓用戶現(xiàn)在就向云世界遷移還面臨相當(dāng)多的問題,其中對安全方面的擔(dān)心是云計算落地的最大阻力之一。那么,我們應(yīng)該如何看待云計算對信息安全的挑戰(zhàn),如何著手保證云計算的安全呢?
“云”化安全產(chǎn)品更可靠
“我認(rèn)為,云計算時代的到來有助于改善信息安全的狀況, 更利于企業(yè)保證信息的安全。” 賽門鐵克首席信息安全技術(shù)顧問林育民說。
林育民認(rèn)為,在云時代,數(shù)據(jù)和應(yīng)用程序都保存在“ 云” 端, 由云服務(wù)供應(yīng)商或內(nèi)部私有云管理部門提供技術(shù)支持,這種集中管控對信息的安全是有利的。內(nèi)部私有云比多個業(yè)務(wù)部門自行運維系統(tǒng),來得更安全、經(jīng)濟且有效率;此外,云服務(wù)提供商往往比大多數(shù)企業(yè)自己更有能力做好企業(yè)信息安全的保障工作。這是因為云服務(wù)商更有資金實力去請有足夠經(jīng)驗的安全人員,來提供7×24 小時的安全保護;而且由云服務(wù)商提供安全服務(wù)更經(jīng)濟。另外,云服務(wù)商為展現(xiàn)自身的信息安全管理能力,大多主動遵循相關(guān)規(guī)范(如ISO 270001、SAS 70 Type2 等) 并積極通過國際標(biāo)準(zhǔn)組織認(rèn)可的獨立第三方認(rèn)證,且有獨立第三方對云服務(wù)商進行審計和監(jiān)管,這客觀上也促進了云服務(wù)提供商改進自己的安全及服務(wù)水平。
“不管是技術(shù)實力還是資金實力,云服務(wù)商的云環(huán)境其安全水平都要好于企業(yè)自己的IT 環(huán)境;而且云服務(wù)商業(yè)務(wù)持續(xù)增長與永續(xù)經(jīng)營中重要的關(guān)鍵就是信任二字。”林育民說。
當(dāng)然,用戶對數(shù)據(jù)安全和隱私方面的擔(dān)心也并不是多余的。要消除用戶的擔(dān)心,首先是云服務(wù)商要提升自己的品牌信任度,進而提升用戶的信心,讓用戶愿意將信息交付給第三方。
林育民解釋說,已有許多全球500 強公司開始采用各類SaaS 云服務(wù),因為這些云服務(wù)商已建立完善的安全制度及品牌形象,取得了用戶信任。比如,賽門鐵克的CRM 就選用了Saleforce.com 公司的云服務(wù)。在中國市場,云服務(wù)提供商仍在完善云環(huán)境的安全防護與建立可信的品牌形象,中國用戶還不太放心將自己的敏感信息保存在第三方,所以國內(nèi)目前仍著重于私有云的建設(shè);但隨著安全制度與法規(guī)逐步的完善、安全技術(shù)的進步,用戶對公有云服務(wù)的疑慮將逐漸降低,未來公有云服務(wù)將在國內(nèi)逐步興起。
另外,安全產(chǎn)品的“云”化也會提升安全產(chǎn)品的功能。根據(jù)賽門鐵克的統(tǒng)計,2009 年新發(fā)現(xiàn)的惡意代碼中,有57% 僅出現(xiàn)在單一計算機中。這意味著傳統(tǒng)被動式病毒簽名掃描已無法有效應(yīng)對新興的安全威脅;而近年來新提出的主動式防御概念,對于采用社交工程技術(shù)的欺詐軟件也無法有效應(yīng)對。隨著云計算技術(shù)的出現(xiàn),安全防御不只從被動轉(zhuǎn)為主動,更是從主動轉(zhuǎn)為預(yù)測式防御,安全防護廠商不需要分析惡意代碼樣本即可預(yù)測其是否可能為惡意代碼,大幅縮短了用戶的防護空窗。此外,由于云安全服務(wù)廠商通過云計算技術(shù)對流量做實時分析,可提供前所未有的安全防護能力。以賽門鐵克云端信息安全服務(wù)為例,該服務(wù)可對用戶做出100% 防護已知與未知的承諾,若是違反服務(wù)水平協(xié)議,將對用戶做出賠償。
應(yīng)對虛擬化挑戰(zhàn)
云時代的到來雖然為企業(yè)信息安全水平的提高提供了更為有利的條件,但并不意味著云計算就沒有給企業(yè)安全帶來挑戰(zhàn)。事實上,云計算時代,信息安全面臨著一些新的威脅,其中最為突出的就是虛擬化。
據(jù)林育民介紹,作為云計算基礎(chǔ)的虛擬化的確給安全帶來很大的挑戰(zhàn):因為安全廠商傳統(tǒng)的產(chǎn)品都是針對物理服務(wù)器,可是到了虛擬化環(huán)境中,很多狀況發(fā)生了改變。
這些挑戰(zhàn)主要體現(xiàn)在以下幾個方面:在虛擬化的世界里,服務(wù)器就是一個個文件、而不再是一個獨立的服務(wù)器,這個服務(wù)器(或者說文件)很容易被別人帶走,風(fēng)險更高了;當(dāng)很多虛擬機運行在物理服務(wù)器上時,這些虛擬服務(wù)器的管理員的工作往往也接手了虛擬化網(wǎng)絡(luò)環(huán)境的管理,這就意味著管理員的權(quán)限增加了,需要重新規(guī)范管理員的權(quán)限;虛擬化平臺(Hypervisor)的引入可能成為新的安全漏洞,一旦黑客攻破了它,就意味著黑客將掌控虛擬化平臺上運行的所有虛擬機;此外,虛擬機的鏡像管理也可能成為新的安全漏洞。比如,在兩次快照之間升級了系統(tǒng)后,由于某些原因可能需要退回到前一個沒有進行系統(tǒng)升級的快照,此時,系統(tǒng)升級就可能被疏忽掉。
實際上,保護虛擬化環(huán)境的安全已經(jīng)成為了不少安全廠商的市場重點。比如,賽門鐵克就圍繞虛擬化環(huán)境的安全推出了很多安全產(chǎn)品,包括對管理員在虛擬化環(huán)境中的權(quán)限進行管控與審計的工具,以及通過部署專門的安全虛擬機來保護各個虛擬機的安全,從而避免在每個虛擬機上都部署一套安全產(chǎn)品,減少防護空窗并提升虛擬環(huán)境運作效率。另外,還有幫助企業(yè)對虛擬化環(huán)境進行合規(guī)性檢查的各種工具等。
“總體而言,云計算給信息安全帶來的既有有利因素、也有不利因素,最終的效果則取決于我們是否能發(fā)揮它的優(yōu)勢而規(guī)避其劣勢。”林育民說。
信息安全
