5月18日,第八屆中國云計算大會(huì )在北京國家會(huì )議中心召開(kāi),本屆大會(huì )設立了四大主題,分別為:“VISION遠見(jiàn)”、“PRACTICE實(shí)踐”、“INNOVATION創(chuàng )新”和“FRONTIER前沿”,呈現出云計算大數據產(chǎn)業(yè)從萌芽到發(fā)展至今的歷程。
隨著(zhù)云計算的發(fā)展,安全越來(lái)越成為云計算應用順利落地的重中之重。云計算為大數據提供了存儲、傳輸和計算的平臺,大數據也為云計算安全提供了監測、分析等方面的支持。5月19日下午,由中國電子學(xué)會(huì )主辦、ZD至頂網(wǎng)協(xié)辦、烏云和《中國信息安全》雜志社提供論壇支持的“云計算大數據安全論壇”召開(kāi)。論壇聚焦云計算大數據安全話(huà)題,邀請云計算大數據安全專(zhuān)家、云安全提供方及云計算用戶(hù)、白帽子現身說(shuō)法,一起交流云計算大數據安全的實(shí)踐經(jīng)驗。
會(huì )議由中科院信息安全國家重點(diǎn)實(shí)驗室翟起濱教授主持,同時(shí)他也是第一個(gè)演講者。下面我們分享每個(gè)演講者的精華部分。
對安全大數據的進(jìn)一步思考——國家重點(diǎn)實(shí)驗室教授 翟起濱
現在的互聯(lián)網(wǎng)已經(jīng)由一般的Internet慢慢發(fā)展成網(wǎng)際空間,云計算的出現是社會(huì )的需要。Gartner曾經(jīng)預測,大數據分析的問(wèn)題會(huì )越來(lái)越多,大規模的數據需要被有效關(guān)聯(lián)分析和挖掘,未來(lái)將出現安全平臺,需要大量的信息工程師。
在RSA2015、2016年產(chǎn)品博覽會(huì )上,很多公司現場(chǎng)表演砸掉原來(lái)生產(chǎn)的盒式安全設備。這是什么原因?云計算和大數據將我們推向智能的機器時(shí)代,智能設備的發(fā)展速度大大超出人們的預測,給網(wǎng)際空間帶來(lái)層出不窮的安全問(wèn)題,按照原來(lái)的方式處理安全問(wèn)題已經(jīng)落后了。
我國三大運營(yíng)商在各地密集建設大數據和云計算中心,有關(guān)數據顯示僅中國電信一家的數據中心數量超過(guò)330個(gè),占全國50%以上的份額,云計算核心是數據,本質(zhì)上是軟件和服務(wù),云計算絕對不等于建設數據中心。
李克強總理最近講信息數據深藏閨中是極大的浪費。政府信息公開(kāi)不是單純的信息發(fā)布那么簡(jiǎn)單,而是關(guān)系國家治理現代化的一項基礎性工作。身處大數據時(shí)代,最大限度發(fā)揮政府信息數據滿(mǎn)足需求、解決問(wèn)題的效用,才是信息公開(kāi)未的基點(diǎn)所在。云計算、大數據發(fā)展過(guò)程中社會(huì )意識形態(tài)要跟著(zhù)改變。
構建安全的云計算平臺——新致云IaaS產(chǎn)品總經(jīng)理 田奎
現在更多的個(gè)人和企業(yè)都開(kāi)始使用云,但近幾年移動(dòng)、互聯(lián)網(wǎng)、大數據的發(fā)展給云計算數據中心帶來(lái)很多安全考驗,我們要從物理安全、計算安全、網(wǎng)絡(luò )安全、危機分析防護等一系列的問(wèn)題進(jìn)行探討。
首先是云計算基礎安全架構,包括云平臺整體的架構安全和云平臺的虛擬化安全。云平臺的整體架構安全包括物理架構的安全和云平臺虛擬架構的安全。在云平臺架構安全設計中,我們將網(wǎng)絡(luò )安全數據資源化,安全設備資源池化更有彈性,這樣能滿(mǎn)足云平臺彈性伸縮的架構。整個(gè)設計要基于全局可管控的角度設計,要把虛擬網(wǎng)絡(luò )、web網(wǎng)絡(luò )、物理網(wǎng)絡(luò )做整個(gè)梳理。其次就是物理平臺的架構,整個(gè)網(wǎng)絡(luò )設計都是全冗余的,這樣出現問(wèn)題的情況下所有網(wǎng)絡(luò )數據可以自動(dòng)切換達到高可用的目的。
云平臺虛擬化安全一個(gè)是CPU虛擬化,一個(gè)是內存的虛擬化安全保證,其次是存儲和網(wǎng)絡(luò )虛擬化安全保證。
數據中心要建立統一的監管控制平臺,所有網(wǎng)絡(luò )的進(jìn)出,流量的信息,包括訪(fǎng)問(wèn)信息必須要能夠看到,因為用戶(hù)種類(lèi)不同,需求不同,數據類(lèi)別太多,我們要防患于未然,數據信息必須可控。
大數據在云安全方面的應用——京東集團首席技術(shù)顧問(wèn) 翁志
今天我跟大家分享的是對于大型互聯(lián)網(wǎng)企業(yè)如何進(jìn)行安全防護的問(wèn)題。云時(shí)代的安全威脅會(huì )涉及到各種各樣的攻擊,如DDOS、中間人加密攻擊、網(wǎng)絡(luò )劫持、旁路攻擊、驗證攻擊等,所以云時(shí)代的安全已經(jīng)是一個(gè)非常緊迫的事情,尤其在大數據非常普及的現在,我們每個(gè)人的私有數據都在云上存儲的時(shí)候,這些數據的安全性就變得非常至關(guān)重要。
云時(shí)代數據安全存在哪些挑戰?分布式存儲:現在海量的數據分布在網(wǎng)絡(luò )當中,相應的安全性也是分散的,任何一個(gè)地方都有可能造成數據的泄露,所以對安全技術(shù)要求很高。非關(guān)系性的數據:原來(lái)數據是結構性,現在90%以上都是非結構數據,比如說(shuō)文本、圖像,怎么進(jìn)行保護是我們面臨的問(wèn)題。還有數據隱私,電商有很多的數據,涉及到數據加密、存儲、限制獲取,在此日志非常重要,是做安全的最寶貴的數據,我們可以通過(guò)這些數據反映當時(shí)的情景。數據審計,數據肯定經(jīng)過(guò)一個(gè)處理的過(guò)程,所以要對數據進(jìn)行實(shí)時(shí)的處理,這需要龐大的集群來(lái)做。數據源控制,數據放在數據庫當中,再到數據分析系統中去,傳輸過(guò)程可能被劫持,涉及到泄密的可能。
我們認為高級可持續性攻擊靠現在傳統安全的手段無(wú)法阻擋,因為攻擊變得越來(lái)越多樣化,漏洞也越來(lái)越多,比起攻擊來(lái)說(shuō)防范困難得多。現代的安全防范手段應該是是全局性、立體性而且是感知性的。作為電商,大數據分析的方法會(huì )幫助我們提高整體的安全體系,我們能知道數據是否處在危險當中或者有泄露的可能,可以通過(guò)大數據方式對蛛絲馬跡進(jìn)行完整的分析。
高速發(fā)展的企業(yè)如何在云中安全馳騁——UCloud安全總監 方勇
創(chuàng )業(yè)型企業(yè)對公有云非常歡迎,原因一是按需交付,二是有資源池,三是網(wǎng)絡(luò )訪(fǎng)問(wèn)便捷。這些企業(yè)面臨著(zhù)激烈的市場(chǎng)競爭,一般公司規模不太大,而且幾乎沒(méi)有專(zhuān)職的安全運維人員,這是他們很明顯的痛點(diǎn)。
對企業(yè)安全的方法論,第一個(gè)叫做七分技術(shù),三分管理,其實(shí)我覺(jué)得這并不是一個(gè)標準答案,但是它是可以參考的框架。管理的作用是在控制對象比較多的時(shí)候,通過(guò)一個(gè)政策一次性的控制所有的控制對象,這是管理的巨大價(jià)值。但是如果管理的對象是一個(gè)規模較小的創(chuàng )業(yè)公司,我更傾向用技術(shù)解決問(wèn)題。當企業(yè)發(fā)展到一定程度是,需要用管理制度去經(jīng)營(yíng)改善問(wèn)題。第二是安全的可度量和可視化,我相信很多公司都在通往這條路的路上,這可以讓你的安全是可度量的。第三個(gè)是安全開(kāi)發(fā)生命周期,從最開(kāi)始的安全培訓,到需求、設計的評審,到編碼過(guò)程、測試、發(fā)布、運營(yíng)整個(gè)流程,都要關(guān)注安全。第四是做好事前免疫、事中攔截和事后追溯、解救。這是做安全很重要的理念,安全沒(méi)有辦法一招就把黑客拒之門(mén)外,要做好事前事后的每個(gè)環(huán)節。最后就是縱深防御,企業(yè)安全領(lǐng)域最底層。進(jìn)不來(lái)、找不到、拿不走、看不了、能發(fā)現,這就是企業(yè)安全方法論,也是執行層需要去做的事情。
發(fā)展的企業(yè)適合上云,云上的安全和傳統安全有很多差異,一是成本降低,二是效率提高,三是提升體驗,最后能力加強。
政企大數據云構建與安全可信實(shí)踐——北京中聯(lián)潤通信信息技術(shù)有限公司總裁 贠瑞峰
根據我們在政府企業(yè)和云計算包括大數據中心建設的實(shí)踐,我們總結了一些經(jīng)驗,政府和企業(yè)過(guò)去積累下來(lái)很多不同的應用不同的系統,這些怎樣有機的去跟云計算和大數據的技術(shù)做一個(gè)有效結合,能夠充分利用云計算大數據給我們帶來(lái)的隨需而變的便利,是政企客戶(hù)面臨的問(wèn)題。
具體到政企大數據云中心有這四個(gè)目標,第一個(gè)是彈性+定制,要考慮彈性、定制化、可用性、安全性、性能等諸多關(guān)鍵要素,在我們這邊彈性不僅僅是一朵云,我們可以管理下面幾朵同構或者異構的云。定制靠中間件,針對客戶(hù)管理上或使用上的需求做一些定制和對接。
第二安全可信,我們通過(guò)等保三級的流程和規范進(jìn)行管理,同時(shí)通過(guò)可信技術(shù)如TPM2.0提高系統安全性,還對敏感數據進(jìn)行加強防護和安全滲透測試。
第三是技術(shù)可靠,要用技術(shù)手段來(lái)保證系統本身具有高可用性,如分布式存儲,數據三倍冗余,主機保護,專(zhuān)業(yè)備份等。
第四是專(zhuān)業(yè)運維,建好了不代表你用起來(lái)沒(méi)有問(wèn)題,在后期從建設轉化到運維時(shí),我們要能夠持續保障業(yè)務(wù)系統能夠運營(yíng)下去。
云環(huán)境下的企業(yè)安全解決方案——Palo Alto Networks亞太區云顧問(wèn)工程師 馬元騏
在黑客的行為模式里,當我們今天要做的不是偵測已知而是防范未知的話(huà),我必須知道黑客怎么想怎么做,這樣我才能防護到每一個(gè)點(diǎn)。大部分黑客在系統能夠做的行為,總歸起來(lái)只有三十幾種固定的模型,今天只要能夠在系統里監控這三十幾種模型,不管病毒怎么變,不管用什么方法進(jìn)來(lái)的,最后做的操作行為。我們都可以察覺(jué)到,更好的進(jìn)行防護。
云數據安全第一個(gè)是零信任,在2009年業(yè)界提出的一個(gè)新概念是零信任,不能信任任何一個(gè)區域,因為攻擊現在不一定是從外部進(jìn)來(lái),特別是在云里,安全需要更加細分,不僅有防火墻這樣的監控設備,還需要有橫向保護。第二快速敏捷是云帶來(lái)的最大優(yōu)勢,運用云平臺大數據作關(guān)聯(lián)分析,可以讓我們看到隱藏的威脅,進(jìn)行分享,甚至實(shí)時(shí)把學(xué)到的行為變成可以在新一代安全設備里面實(shí)施的策略,快速回到設備加強自我的狀態(tài)。
云計算還有一個(gè)問(wèn)題是要考慮誰(shuí)負責誰(shuí)的安全。我們都認為云平臺運營(yíng)商應該擔負起安全責任,但業(yè)界有好幾起OpenStack的平臺被黑掉,甚至所有資料被抹掉。作為用戶(hù)需要確保我在云里面安全策略和我在企業(yè)里面是一模一樣的,有沒(méi)有一套機制確定達到100%的轉換,到底安全不安全。
攜程云WAF與大數據分析實(shí)踐——攜程信息安全部高級安全專(zhuān)家 張亮
作為甲方來(lái)說(shuō),面對安全需求的時(shí)候不可能完全靠硬件去做,我們不可能把所有產(chǎn)品線(xiàn)產(chǎn)品流量都往云上遷移,所以我們必須做自己的云WAF,這是公司內部的安全要求,防黃牛、防刷票、防掃號、防爬蟲(chóng)一些業(yè)務(wù)需求我們都可以自己防護。還有一個(gè)難點(diǎn)就是系統里存在很多不同的操作系統,我們通過(guò)集中式的平臺來(lái)防護,不需要每一臺都部署。
不管是業(yè)務(wù)需求還是應用安全需求,目前來(lái)說(shuō)基于規則的準確性更高。那么規則語(yǔ)言從哪來(lái)?首先最開(kāi)始的核心規則來(lái)源是從開(kāi)源獲得,我們把它從外部收集回來(lái)以后內部進(jìn)行一些調整。其次通過(guò)日志流量鏡像的方式進(jìn)行規則使用的實(shí)時(shí)計算,第三步將實(shí)時(shí)計算結果進(jìn)行分析,第四我們會(huì )將故報率低、漏報率低的規則才會(huì )考慮放進(jìn)WAF當中。所以我們要檢測具有什么特征的流量,都會(huì )用這套系統先去計算,再把規則加進(jìn)去。對一些維度的統計我們有一個(gè)分數計算,分數越高證明IP獨立攻擊的危險度越大,后面將這個(gè)規則手動(dòng)與WAF進(jìn)行聯(lián)動(dòng)。因為WAF并不是萬(wàn)能的,它也可以被繞過(guò)。
現在系統每天差不多收到幾十億的請求,每次處理大概0.2毫秒的時(shí)間,每天攔截數百萬(wàn)次的攻擊,誤報率低于千萬(wàn)分之一,我們可以結合自己的業(yè)務(wù)特征,做成白名單,讓誤報率降低,同時(shí)不會(huì )放過(guò)真正的攻擊。我們將來(lái)計劃進(jìn)一步提高自動(dòng)化,通過(guò)機器學(xué)習和前端的實(shí)時(shí)計算,能夠做到無(wú)人值守,讓它可以自動(dòng)識別可疑訪(fǎng)問(wèn)。
企業(yè)終端威脅預警云平臺建設思路——安天實(shí)驗室副總工 李柏松
在上世紀80年代到90年代,中小企業(yè)面臨的終端安全威脅最主要的就是病毒,本世紀初,計算機蠕蟲(chóng)傳播影響很大,到2006年的時(shí)候木馬數量顯著(zhù)增加。現在對企業(yè)安全構成最大影響的是惡意軟件,如現在比較流行的加密勒索軟件。
勒索軟件本身不是很新的概念,但從2013年開(kāi)始增長(cháng)迅速,有三個(gè)原因:首先它從投入產(chǎn)出比來(lái)看利潤非常豐富,勒索軟件只是一個(gè)簡(jiǎn)單的加密程序;制作成本很低,甚至有一些勒索軟件是開(kāi)源的;最后是需要的能力低,沒(méi)什么能力的犯罪分子也能完成傳播的服務(wù),從而受益。此外APT的威脅也越來(lái)越嚴重,APT威脅是一種未知威脅,非常復雜難以檢測,沒(méi)有辦法建立有效的檢測規則,沒(méi)有辦法把檢測能力實(shí)施到產(chǎn)品中去,破壞力強,影響嚴重。
我們對此有一套應對策略,未知防御、全網(wǎng)追溯、定點(diǎn)清除,主要適用于中小企業(yè)以及對安全要求非常高的部門(mén)。我們首先對不同企業(yè)使用的黑白名單,建立單獨的安全基線(xiàn),保證網(wǎng)絡(luò )設備的安全運行。同時(shí)進(jìn)行深度威脅鑒定,通過(guò)前置沙箱發(fā)現里面的漏洞利用和可疑行為,讓有問(wèn)題的未知程序都不能執行。還有全網(wǎng)追溯,一旦發(fā)生事件,可以在內網(wǎng)進(jìn)行追溯,管理員可以根據某一種機制進(jìn)行定點(diǎn)清除。對勒索軟件我們有文檔跟蹤備份,利用云存儲的優(yōu)勢來(lái)進(jìn)行。我們把防御這套思路以一種SaaS模式提供服務(wù)。用戶(hù)在終端安裝程序,所有服務(wù)在云端上,可以省去很多環(huán)節。
站在云端看企業(yè)安全——烏云核心白帽子,唐朝安全巡航總監 章華鵬
企業(yè)安全的本質(zhì)是數據安全,互聯(lián)網(wǎng)本質(zhì)其實(shí)是信息互聯(lián)的概念,信息本質(zhì)也是數據,所以企業(yè)安全的核心其實(shí)就是數據安全。云給企業(yè)安全帶來(lái)的變化是數據的邊界正在消失。由于云計算的普及,大量客戶(hù)的數據已經(jīng)從個(gè)人終端向云平臺做遷移,這使得數據安全將更多關(guān)注整個(gè)云平臺的安全。
云平臺安全出問(wèn)題會(huì )導致用戶(hù)核心數據的風(fēng)險。例如有一些企業(yè)開(kāi)始接入企業(yè)辦公的SaaS平臺,如財務(wù)、人事,導致原本在內部的數據同步到了云端。所以對于這些企業(yè)來(lái)說(shuō),數據的安全已經(jīng)不是內網(wǎng)、辦公網(wǎng)的網(wǎng)絡(luò )安全,而是云平臺是否安全。
現在很熱的“互聯(lián)網(wǎng)+傳統行業(yè)”的業(yè)務(wù),像互聯(lián)網(wǎng)醫療、互聯(lián)網(wǎng)金融、P2P相關(guān)企業(yè)、出行服務(wù)這些場(chǎng)景,有一個(gè)很明顯的特征,他們的互聯(lián)網(wǎng)業(yè)務(wù)處于起步階段,關(guān)注的是企業(yè)生存問(wèn)題,對安全的需求較高,但自身能力可能不足,不知道該怎么去做,以及找不到合適的人才。這樣一個(gè)大背景下我們要思考能否提供更好的解決方案。
新的解決方案,首先要做一個(gè)精細化的資產(chǎn)管理,其次對當前資產(chǎn)和服務(wù)做風(fēng)險監測,接下來(lái)才能做整個(gè)安全的建設。我們結合烏云本身社區的優(yōu)勢,將近幾年積累的近20萬(wàn)的漏洞,2萬(wàn)名的白帽子,把安全能力輸出給企業(yè)。另外社區還有一塊是對全球威脅情報的收集,依賴(lài)社區的力量涵蓋到最新的風(fēng)險。
最后我們要對企業(yè)的安全做持續的保障,首先做一些周期性的檢測,根據業(yè)務(wù)更新進(jìn)行風(fēng)險檢測。其次進(jìn)行持續的風(fēng)險管理,風(fēng)險分析,幫助企業(yè)了解當前的安全狀況,未來(lái)的趨勢。
