云計算安全剛剛起步需要保護

　　我看到過很多安全廠商所提出的云計算解決方案，以此為基礎，我嘗試著對云計算安全給出一個個人說法。我認為，目前，狹義的云計算安全包含三個核心技術方向，分別是訪問控制、數據加密和對虛擬機的安全防護手段。而廣義的云計算安全則包括云服務提供商所采取的各種網絡安全措施，例如防DDoS攻擊技術。

　　訪問控制：確認用戶身份

　　已經有云計算服務提供商利用訪問控制來增強云計算的安全性。

　　PivotLink公司提供基于云的、按使用付費的商業智能服務。它與Novell合作并對后者的云安全服務進行了beta測試。

　　PivotLink負責開發的高級副總裁BobKemper說：“我們從插入在客戶的服務中的Novell服務獲得認證功能。目前我們使用身份管理和他們的認證服務來管理安全水平。Novell與所需的企業系統進行集成來提供對信息的訪問。”

　　PivotLink的許多客戶是各公司的零售經理。在使用Novell的云安全服務時，這些客戶不必使用運行在企業內部的Novell軟件，只要使用任意LDAP或ActiveDirectory基礎設施就行。

　　這種基于云的服務使用基于SAML的認證。與Novell合作進行beta測試的協議允許客戶可以自動刪除離職的商店經理的賬戶并給新上任的經理自動添加授權使其能夠使用PivotLink的服務。

　　Kemper說：“我們的客戶表示需要某種形式的管控和審計。則使得他們對把敏感數據上載到云中感到更放心。

　　Novell云安全業務部總經理DiptoChakravarty說，Novell與許多軟件服務化、托管提供商進行接觸，了解他們對與Novell在基于云的安全服務方面開展合作的興趣。

　　有一種設想是，Novell必須起到技術協議“中立國”的作用，支持SAML1.1、SAML2、WS-Fed、InfoCard和OpenID以及企業端的Shibboleth。Chakravarty表示，Novell云安全服務是真正的多客戶托管安全解決方案，它可以由SaaS的托管服務商托管，或由Novell的合作伙伴托管。

　　EMC信息安全事業部RSA首席技術官BretHartma表示，專業的安全廠商可以滿足云計算服務提供商三個方面的安全需求：

　　第一方面，保護云服務提供商免受外來攻擊。

　　第二方面，滿足云計算環境中不同租戶之間的數據獨立性。在一個云環境中通常會有兩個以上的租戶，他們之間的數據不能互相干擾。而且在未經授權的情況下，一個用戶不能訪問另外一個用戶的數據。

　　第三方面，確保云服務提供商自身平臺安全，比如訪問控制、身份認證等基礎性的要求。只有滿足這三方面的需求，企業才能非常放心地將他們的應用轉移到云平臺上。

　　加密：保證數據自身安全

　　企業通常在網絡的邊界部署安全設備，用來拒絕外部非授權用戶的訪問。然而在虛擬化環境中，虛擬IT服務不存在物理邊界。于是，企業必須假設所有傳輸的數據都有潛在的被攔截風險。

　　沒有了物理控制，就必須依靠其他加固原理來限制對信息的訪問。信息的加密是其中最重要的方法，它可以限制對有用信息的訪問，這種限制甚至超過了對物理系統的保護級別。所以，加密成為了保證云服務安全性的關鍵性部分。

　　賽門鐵克資深信息安全顧問林育民表示，在保護云端的數據安全方面，賽門鐵克正在研發新的用戶密鑰管理技術，來保護用戶數據的安全。

　　趨勢科技執行副總裁暨中國區總經理張偉欽認為，如果企業把數據放到云服務提供商那里，數據的加密和解密就很重要。密鑰一定要在企業自己的口袋里，別人只要沒有密鑰，就不能看到數據。需要注意的是，鑰匙一定不要放在IT部門，而且資料的保存者和鑰匙的擁有者一定要分開。

　　虛擬機防護：傳統安全釋放新活力

　　在保護云計算環境的安全方面，一些國外的安全廠商，例如StillSecure和AlertLogic，已經開始提供入侵檢測、入侵防御服務，保護云服務提供商那里的基于虛擬機的服務器。

　　為醫院和醫療保健機構提供病歷管理的AutomatedDocumentSolutions(ADS)公司IT主管MikeCrews表示，ADS使用Host.net作為云提供商。當幾個月前Host.net開始與StillSecure合作提供IDS/IPS服務時，ADS訂購了服務，享受這類全天候監測的好處。

　　Crews說：“ADS很難自己部署這類功能，因為StillSecure這樣的安全專家才能做好此類事情。”Crews說到目前為止，StillSecure提供的這項安全服務運行的很好。StillSecure擁有自己的網絡運營中心，這個運營中心監測運行在Host.net那里的ADS虛擬機上的情況。服務的費用為每10臺虛擬機每月支付250美元。ADS認為這樣的費用是可以承受的。

　　另一家云基礎設施提供商——iland公司CTOJustinGiardina說，iland在一年多以前便開始通過安全公司AlertLogic在其數據中心提供IDS/IPS監測服務。

　　iland的每家云客戶通常會得到基于VMware虛擬機的虛擬LAN分段、防火墻保護。另外，客戶還可以選擇讓AlertLogic從自己的網絡運營中心監測這些虛擬機。

　　AlertLogic的監測使用基于主機的軟件，該軟件運行在管理程序級。AlertLogicIDS/IPS服務可以被配置為通過觸發CiscoASA防火墻(例如檢測到問題)的自動響應來自動保護某個網段。

　　有不到四分之一的iland客戶使用這個AlertLogic服務。雖然AlertLogic負責對虛擬機的24X7監測，并且與客戶建立直接的關系，但是如果發生安全事件，iland也可能會牽扯進來。

　　Giardina說：“不是每個人都懂得打補丁的重要性。”他談到了因黑客和惡意軟件造成的服務器安全受到損害，iland有時也收到AlertLogic的通知來回應安全事件。

　　雖然除了AlertLogic提供的安全服務外，iland當前沒有增加更多第三方安全服務的計劃，但Giardina說，iland正在研究建立基于賽門鐵克軟件的病毒掃描和防護服務的可能性。賽門鐵克的新軟件將利用基于VMware的VMsafeAPI實現管理程序級的監測功能。

　　雖然沒有在中國進行重點宣傳，但是在保護云計算安全方面，領先的安全廠商都有自己的計劃和產品。

　　CheckPoint中國區總經理劉偉表示，VPN-1PowerVSX是專門為基礎設施整合而設計的虛擬化安全網關，對協助企業加強對云計算等一類虛擬化環境的安全控制有幫助。對于云服務供應商而言，VSX可以輕而易舉地協助他們提供新的安全服務，因此是發掘新收入來源的理想平臺。這些新安全服務包括增值虛擬化內容過濾、VPN、網絡分區及防火墻服務。

　　在今年的RSA安全大會上，SonicWALL推出了兩款安全虛擬設備——全球管理系統虛擬設備與ViewPoint虛擬設備。SonicWALL產品管理副總裁PatrickSweeney說：“企業部署的虛擬設備需要能夠提供關鍵的安全性能并有助于提高工作效率，才能充分發揮設備優化、更低成本、數據中心容量充分利用以及云計算基礎設施的優勢。SonicWALL最新推出的產品可幫助大中型企業在虛擬化環境中開發可擴展的安全解決方案。”

　　趨勢科技在收購ThirdBrigade后，經過一年多的整合和聯合開發，推出了面向云計算架構虛擬服務器保護的DeepSecurity7.0新產品。據張偉欽介紹，作為一款全新的保護虛擬化服務器的安全解決方案，DeepSecurity7.0將云計算環境中的全部服務器納入保護范圍，包括操作系統、網絡、應用程序等，不論用戶使用的是何種運算環境、虛擬化平臺或儲存系統，它都能提供優異而完整的安全保護。

　　DeepSecurity7.0的主要特色包括：在云端服務器中設置一套防護模式，預防信息的外泄與中斷;降低虛擬環境和云計算環境的安全管理成本;協助實現各種法規與標準的遵從要求，例如PCI、HIPAA等;為云計算數據中心解決各種黑客攻擊問題，如SQL注入攻擊、跨站攻擊等。

　　云計算的絆腳石

　　云計算描繪了一幅美妙的未來圖景。然而，企業們發現通向美好愿景的是一條艱辛之路，數據保護和虛擬環境中的風險管理讓人望而卻步。毋庸置疑，安全問題已經成為了阻礙云計算發展的最大“絆腳石”。

　　在2010年RSA大會上，RSA總裁科維洛表示，“有些事情阻礙了云這一愿景的充分實現。簡單地說，那就是安全。據調查，有51%的首席信息官認為安全是云計算最大的顧慮。安全沒有跟上云計算的步伐。”

　　云安全聯盟所做的調查研究指出，業在選擇云服務時面臨著惡意攻擊和數據意外丟失的雙重危險。最關鍵的問題是應用程序編程接口(API)開發工具十分脆弱。研究人員表示，企業將眾多的其他服務捆綁到一個云計算應用程序上，無形中使得自己暴露出了最薄弱、最易受攻擊的環節，其中任意一個服務受到損害，將會導致所有連接的其他應用程序遭到攻擊。

　　另外，根據獨立研究與產業分析報告顯示，虛擬化后的企業數據中心的安全狀況令人擔憂，盡管95%的數據中心在2009年都已采用了虛擬化技術，然而生產環境中的虛擬機器有60%以上比物理主機更缺乏安全防護。更糟糕的是，虛擬化為云計算提供了很好的底層技術平臺，這些被虛擬化的設備和存儲空間，大多已經成為云中的重要成員。

　　由于云計算是一個開放的環境，沒有清晰定義的網絡邊界，云端部署的應用程序與操作系統受到攻擊的可能性就會很大，很多計算資源今后都會面臨更多的風險，安全形勢會變得越來越嚴峻。所以，盡管安全廠商已經做出了很大的努力，但還需要讓云計算的安全性變得更好。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]