第七屆云計算大會(huì )于6月5日完滿(mǎn)落下帷幕,大會(huì )除了主論壇的精彩演講,還有一系列的技術(shù)專(zhuān)題論壇和行業(yè)應用論壇,其中的“云計算安全與可信計算論壇”吸引了很多人的目光。誠然,近期國內網(wǎng)絡(luò )安全事件頻發(fā),在云計算進(jìn)程中也不例外,安全是其中一個(gè)重要的考量因素。
在第七屆云計算大會(huì )第三天的主會(huì )上,CSA云安全聯(lián)盟創(chuàng )始人兼CEO Jim Reavis曾舉例說(shuō):“如果我是7歲的孩子,父親會(huì )鼓勵我到外面去玩,那么母親就會(huì )說(shuō)‘要注意安全’,不管做什么,都要安全第一。CSA云安全聯(lián)盟就是母親的角色,保證大家在云操作方面更加的安全。”
CSA云安全聯(lián)盟創(chuàng )始人兼CEO Jim Reavis
Jim Reavis說(shuō),根據調查,在北美很多大型的企業(yè)都會(huì )有800-1000多個(gè)數據中心服務(wù)器來(lái)搜集信息,安全方面所做的預算或者付出的資金可能只占投入資金的10%,預測5年后,一些大型公司在IT系統方面一定在云方面非常領(lǐng)先,他們大部分的設備都是在云端建立起來(lái)的,而非自己的設備,但在他們組織內部就可以進(jìn)行直接的管理。Jim Reavis表示,面對安全帶來(lái)的挑戰,需要進(jìn)行教育,提供一些資質(zhì),獲得一些認證,才能保證云更加的安全。
在此后的云計算安全與可信計算論壇上,CSA大中華主席、華為首席網(wǎng)絡(luò )安全專(zhuān)家,同時(shí)也是西安交通大學(xué)教授李雨航,以“云計算2.0時(shí)代的網(wǎng)絡(luò )空間安全”為題發(fā)表了演講。
云安全聯(lián)盟全球首席戰略外交官 李雨航
目前,很多企業(yè)等只是把一些非敏感的應用搬到云里,很多真正的IT關(guān)鍵的應用實(shí)際上還沒(méi)有向云計算全部轉型,但云計算對很多創(chuàng )業(yè)公司是有吸引力的,云計算的優(yōu)勢能夠在一些中小公司、創(chuàng )業(yè)公司中體現出價(jià)值。現在隨著(zhù)云計算技術(shù)的不斷發(fā)展,越來(lái)越多的企業(yè)以及其他社會(huì )單位考慮將自己的關(guān)鍵業(yè)務(wù)放在云端運行,這也帶來(lái)一個(gè)問(wèn)題就是安全問(wèn)題,黑客和破壞者們開(kāi)始將目標瞄向云端了,而云端安全技術(shù)顯然還沒(méi)跟上云計算的發(fā)展。
這種新的商務(wù)模式和安全技術(shù)之下,安全的問(wèn)題是更加嚴重,在云計算不斷前進(jìn)發(fā)展的同時(shí),我們不能忽視云計算安全技術(shù)的跟進(jìn)。在網(wǎng)絡(luò )空間主要的安全挑戰是面臨幾個(gè)方面,主要有外國間諜機構的監聽(tīng)和網(wǎng)絡(luò )攻擊以及內部的泄密,最后是新技術(shù)帶來(lái)的安全挑戰。李雨航認為,要解決云安全的問(wèn)題,必須解決整個(gè)網(wǎng)絡(luò )空間的安全的問(wèn)題,云安全是網(wǎng)絡(luò )空間安全的一個(gè)子集。
云安全聯(lián)盟總結的九大云安全威脅:
- Data breaches
- Data loss
- Account or service traffic hijacking (賬號劫持或服務(wù)流量劫持)
- Insecure interfaces and APIs (不安全接口/應用程序接口)
- Denial of service (拒絕服務(wù)攻擊)
- Malicious insiders
- Abuse of cloud services (濫用云服務(wù))
- Insufficient due diligence
- Shared technology vulnerabilities (共享技術(shù)中的漏洞)
李雨航表示,網(wǎng)絡(luò )安全頂層架構應該劃分成6個(gè)維度,包括國際戰略、國家法律、行業(yè)標準、管理流程、技術(shù)工具以及人才培訓六點(diǎn)。當然,此架構可以有各種劃法,這種劃法可以作為一個(gè)指導,指導實(shí)踐。
首先在國際戰略層面,云安全是網(wǎng)絡(luò )安全的一個(gè)子集,受網(wǎng)絡(luò )安全的影響,網(wǎng)絡(luò )安全又是國家安全的一部分,國家安全又是整個(gè)國家戰略的一部分,現在全球大概有40多個(gè)國家都有了自己的國家網(wǎng)絡(luò )安全戰略,中國亟需發(fā)展此戰略。
法律層面上,我們很多安全的工作是通過(guò)法律的制定和執法來(lái)完成的。在網(wǎng)絡(luò )空間實(shí)際上也是類(lèi)似的,亟需相關(guān)法律的制定,可以借鑒歐盟和加拿大的《隱私法》。
行業(yè)標準層面上,現在網(wǎng)絡(luò )空間很多是以ICT產(chǎn)品來(lái)搭建的,加之全球化的影響,很難用一家的產(chǎn)品或者一個(gè)國家的產(chǎn)品來(lái)搭建本國的網(wǎng)絡(luò )空間。對此,我們可以建立國際互認的認證認可制度,把國際認證當做國際ICT產(chǎn)品認證的通行證,現在在產(chǎn)品的安全認證這方面有CCM的例子。
在管理流程方面,有一個(gè)說(shuō)法叫七分管理、三分技術(shù),流程管理在信息安全、網(wǎng)絡(luò )安全里邊起到了非常重要的作用。怎么樣把有安全保障體系、產(chǎn)品的安全質(zhì)量做到有保障?需要管理流程來(lái)進(jìn)行保證。在云計算時(shí)代我們需要加緊運維,把產(chǎn)品和方案變成服務(wù),像以前的初步式的流程,剛才微軟有講過(guò)微軟的SDL開(kāi)發(fā)流程,在云計算的流程下對后邊服務(wù)這一塊還沒(méi)有覆蓋到,這個(gè)管理方面我們也需要新的思維。
最后是人才的培育,現在網(wǎng)絡(luò )安全方面的人才奇缺,如果我們還不作為那以后網(wǎng)絡(luò )安全會(huì )面臨青黃不接的境況。要解決這個(gè)問(wèn)題,我們要對人才培育有計劃地來(lái)開(kāi)展一些工作。這里邊就分了不同的教育,比如說(shuō)對云計算的用戶(hù)有些基本安全知識的教育,包括手機的用戶(hù),還有對初級的安全人才、專(zhuān)業(yè)的安全人才和已經(jīng)在職有經(jīng)驗的,都要有不同的培訓的內容,還有攻防大賽,可能都是對這種專(zhuān)門(mén)做安全測試、安全滲透專(zhuān)業(yè)人士等于是一種競爭展示的機會(huì )。
云安全聯(lián)盟為了解決下一代云計算安全也做了很多工作,例如針對物聯(lián)網(wǎng),還有智能手機加入云計算的形態(tài)系統后實(shí)施的一個(gè)動(dòng)態(tài)邊界。李雨航介紹到,這個(gè)中心思想就是把網(wǎng)絡(luò )空間里面的節點(diǎn)全部隱藏,黑客根本就看不見(jiàn),你看不見(jiàn)就沒(méi)有辦法攻擊。我們這套系統已經(jīng)做出來(lái)了,去年在云安全聯(lián)盟的大會(huì )上都拿出來(lái)讓大家進(jìn)攻,這個(gè)進(jìn)攻到現在已經(jīng)有大概100億次,沒(méi)有人能夠攻破。
李雨航補充到,另外云安全聯(lián)盟的量子安全有三大塊,包括量子計算,量子通訊和量子加密。量子加密就是一種方法,它在理論上量子加密是絕對安全的,它是由三個(gè)物理定律來(lái)進(jìn)行保障的。除此以外云安全聯(lián)盟還涉及到移動(dòng)應用安全以及物聯(lián)網(wǎng)安全,CSA現在還有一個(gè)CSA STAR的項目,是基于安全控制的一個(gè)系統的協(xié)議,來(lái)涉及整個(gè)行業(yè),另外一個(gè)領(lǐng)域是虛擬私有云。CSA安全聯(lián)盟已經(jīng)擁有了技術(shù),知道在哪里放密鑰、在哪里加密,來(lái)確保合適的方法進(jìn)行部署。
CSA云安全聯(lián)盟現在在做的一項重要工作是SDP(軟件定義邊界),這個(gè)是源于情報部門(mén)和軍事部門(mén),通過(guò)創(chuàng )造一個(gè)開(kāi)源的模式來(lái)實(shí)現,它共包括5層的安全控制,把這個(gè)控制數據流以一種非常一致的方式分離出來(lái),也就是說(shuō)在中間會(huì )有一個(gè)夠虛擬的控制器。
李雨航總結到,安全性和隱私性是普及云計算的關(guān)鍵。目前云計算還沒(méi)有普遍達到為用戶(hù)儲存高機密數據和高敏感隱私的安全標準,我們將繼續開(kāi)展工作以消除廣大用戶(hù)(包括政府、企業(yè)和個(gè)人)所承擔的風(fēng)險和明確各機構的義務(wù)。
