您的位置: 网界网 > 安全 > 正文

云计算安全与可信计算:多维度实战深入分享

2015年07月01日 22:12:58 | 作者:csdn | 来源:IT专家网 | 查看本文手机版

摘要:《云计算安全与可信计算论坛》在资深安全专家,炼石网络CipherGateway CEO白小勇的主持下正式开启。

标签
云计算
云安全
安全架构

云计算[注]安全与可信计算论坛》在资深安全专家,炼石网络CipherGateway CEO白小勇的主持下正式开启。这是一场令观众大饱耳福的分享会议。其中不仅有深刻的“企业私有云安全防护实践与探索”,还有“构建可信赖的云计算平台”、“360云计算的安全与大数据[注]应用”、“面向未来的自适应安全架构”、“基于云安全方案解决中小企业安全痛点”、“可信,源自中国电信”、“云计算2.0时代的网络空间安全”和“端到端可信云解决方案”等多维度的深入探索。

黄晟:私有云[注]防护实践与探索

首先分享的是北京中油瑞飞信息技术有限公司信息安全高级技术总监黄晟。在《企业私有云安全防护实践与探索》主题演讲中,黄晟深入分享了包含威胁分析、防护探讨、落地实践、思考与展望等一系列中国石油私有云安全建设的内容。

北京中油瑞飞信息技术有限公司信息安全高级技术总监 黄晟

在他看来:私有云安全设计有两个原则,一是纵深防御,二是“Design for Failure”防护理念。事实上,CSA和NIST都提出了较为完备的云安全框架,但是在如何实际的云计算环境中全面落实,一直是信息安全从业人员在云计算时代面对的挑战。是“老革命遇到的新问题,我们要做的是如何来解决。”

比如,在基础设施层面,要注意三个方面:

可控范围:作为企业信息安全人员,“管”不到公有云[注]的安全防护机制;

发展趋势:大中型企业逐步接纳私有云作为新的IT基础设施(WalMart、PayPal等);

应用模式:现有企业信息系统对基础设施的使用模式,决定了现阶段企业私有云将会采用IaaS[注]为主、PaaS[注]为辅的模式。

而从不同角度能看到安全的不同层面。如果从私有云安全规划角度看,有四阶段需要注意:

边界防护:私有云安全防护的底线;

基础防护:与私有云建设过程中同步开展的阶段;

增强防护:随着云安全技术逐渐成熟,增强完善云安全服务;

云化防护:面向SaaS[注]等更复杂的云计算模式,引入云安全访问代理等新技术,结合业务实现防护。

他还分享了分层控制体系要点、私有云基础防护体系3D模型等诸多技术细节。最终目标是“通过在工程化建设私有云的过程中实施基础安全防护措施,综合采用现有成熟的安全防护手段,面向主流的私有云技术体系,有效应对面向云计算平台底层的主要云安全威胁,为私有云平台的租户系统实现不低于传统物理机模式的安全保障”。

对未来,黄晟认为:基于SDN[注]技术构建“流网络层”,提升“东西向”的隔离颗粒度与强度,以及加强云内流量监控;操作系统加固技术在私有云底层平台的应用,特别是通过安全手段固话底层行为;面向业务操作与业务数据的云安全代理机制等,都将是重点考虑的方向和手段。

陈恺:构建可信赖的云计算平台

微软公司可信赖计算部安全技术政策总监陈恺在题为《构建可信赖的云计算平台》的演讲中,特别提到IT技术,如移动、应用、大数据、云计算等发展带来了安全方面的巨大挑战和机遇。尤其在信任方面,“如何保护数据,谁能访问数据,数据在哪里,如何证明你所承诺的”一直是用户所关注的。为此,微软提供了可信(核心安全、隐私保护、合规及可靠性承诺),开放和灵活(跨平台一致体验、随时随地处理所有数据、可扩展的应用开发、灵活的基础设施)的安全服务。

微软公司可信赖计算部安全技术政策总监 陈恺

正如在Azure平台上,企业可以自由选择Linux系统一样。微软在网络安全方面的承诺是:开发、提供安全的产品和服务;保护客户的数据安全及隐私性;协助客户及合作伙伴保护他们的资产;协助打击网络犯罪。技术方面,微软在数据加密方面,会通过“客户与业务之间传输的数据,数据中心之间传输的数据,存储的数据,用户之间端到端的数据保护”来实现全面保护。

微软可信云是建立在微软运营大规模云服务的经验基础上,已经通过了运营安全保障(OSA)和极多的安全认证。

信息安全标准:ISO 27001(中国),SOC 1 Type 2,SOC 2 Type 2;

国家认证:美国FedRAMP/FISMA;美国CJIS;英国G-Cloud;澳大利亚IRAP;新加坡 MCTS;中国可信云认证;

产业认证:PCI DSS Level,HIPAA/HITECH,Life Sciences GxP。

微软在安全方面有全套的安全保障体系,并已经通过微软可信云(Azure)落地中国。

张晓兵:云安全技术架构分享

2014年国内新增恶意样本3.2亿、钓鱼网站262万、Android病毒326万,65.5%网站存在漏洞,互联网公司公开的安全事故已导致11.3亿用户信息泄露。2015年,网易大面积服务器瘫痪,支付宝光缆事故,携程网出现业务故障,艺龙网遭受DDoS[注]攻击等事件,带来的影响更加深远。不止如此,随着公有云的发展,安全防护的重要性更加明显。比如:qemu kvm CVE‐2015‐3456:5月,潜伏了11年名为“毒液(VENOM)”的高危漏洞被发现,利用此漏洞的攻击者可以在有问题的虚拟机中进行逃逸,并且可以在宿主机中获得代码执行的权限。一旦云平台遭受攻击,将影响更多企业。

360云事业部产品总监 张晓兵

在360云事业部产品总监张晓兵看来,随着互联网+的持续深入,2015年安全情况面临着更大的挑战。为此,360提出了“数据驱动安全”理念,落地产品是QVM人工智能引擎。其基于海量数据挖掘、引入机器智能学习算法,准确识别未知恶意软件,是人工智能技术在计算机安全领域中的一次大规模商业应用。

流程上来看,基准样本平台,数据挖掘,建模,自动测试校验,人工例外处理,反馈,形成闭环。其特征函数推演上亿统计样本,上千万学习样本,上百亿推演样本,1秒云鉴定。

对于几乎所有企业都关注的:“谁在攻击你?为什么攻击?什么时候攻击的?怎么攻击?攻击是否成功?损失了什么?有关联攻击么?还攻击了谁?”360还通过大数据关联技术,以多种图形展现的方式,帮助安全专家对未知威胁进行分析、发现、回溯、跟踪及预警。此外,更提供多租户隔离、集群与公司业务隔离、高防DNS服务、具有五网分发能力的安全CDN服务、防DDoS攻击等构建安全云环境,以及自主研发的鹰眼系统,进行实时扫描防护。

360所提供的提供安全的云平台采用了开放式云架构。能够提供如下服务:

多租户隔离:每个租户的云主机在一个隔离的区域中,不同租户之间无法访问,防止相互攻击,降低安全风险;

业务隔离:集群与公司业务隔离,业务网与管控网分离(租户网络与管理网络分离);

高防DNS服务,防护DNS型的攻击;

五网分发能力的安全CDN服务,如解决全国运营时的同步访问问题;

安全扫描服务,定期对所有云主机进行安全扫描,及时发现安全漏洞

防DDoS攻击,自动化抵御SYNFLOOD、UDPFLOOD等常见攻击,有效保障用户业务的正常运作。

在如今火热的Docker容器化安全策略方面,360也可以通过鹰眼系统、层叠式安全机制、文件系统级隔离、细颗粒度安全防护等来实现。

张福:面向未来的自适应安全架构

作为国内最早的一批黑客之一,并在九城、盛大、51.Com、昆仑万维负责多年核心业务研发工作,积累了丰富的一线安全处理经验,如今创业的青藤云安全创始人&CEO张福对安全的理解很深刻。在题为《面向未来的自适应安全架构》的演讲中,他先是分享了一个真实的企业安全故事:知名游戏遭到黑客攻击,最终7人联合小组用了2个月的时间通过各类技术手段才发现10%服务器被感染。他认为:安全环境非常严峻,安全已远远落后云计算的发展,无力应对业务需求剧烈变化,更无力面对专业攻击者,企业安全陷入困境。所以企业更加需要:适用于各种基础架构、易于部署、快速响应、容易使用、实时发现未知威胁、持续监控包含、保护核心资产、人员依赖低的云安全服务。所以,安全发展将会想以下三种方向来变化:基于硬件的安全产品空间会更小,基于软件架构的云形态安全产品会发展更快;边界安全策略会变为从内而外的安全体系;应急响应变化到持续响应。

青藤云安全创始人&CEO 张福

具体来看,就是:

互联网企业安全应该基于业务构建自内而外的安全体系而不是基于边界防护。企业安全体系的核心是对业务系统级的行为识别分析和持续监控。

互联网企业安全应该摆脱对基础设施的绑定,在业务扩张变化时能够做到灵活快速的部署调整,并保持安全策略的一致性。

互联网企业安全操作应该抛弃繁琐的命令,做到高度自动化和智能化,提供安全运人员高度可视化的管理操作界面,从而避免失误操作,提升效率。

这也是青藤云安全构建的自适应安全平台的根本。他认为:自适应安全的创新之处在于,首次将视角转移到防火墙之后的业务系统内部,强调基于业务自内而外构建安全体系,安全防护变成一项持续响应和处理过程。 更重要的是安全监控和实施直接运作于每个业务单元而不是依赖于基础设施或硬件,赋予企业更细粒度和更丰富的持续监控和行为分析能力,企业安全运维人员可以清楚掌控内部系统异常运作和外部攻击行为,真正做到对多形态攻击甚至高级攻击的快速响应恢复,同时自适应任何基础设施和业务变化。

目前,国际一流安全厂商如FireEye都在加强产品的自适应化,以自适应为核心的初创公司illumio在成立的短短两年内就估值获得多轮融资超过1亿美元,并受到美国科技界众多大佬如微软董事长JohnThompson、雅虎创始人杨致远、Salesforce创始人Marc Benioff的青睐,以及知名风投A16Z、Formation 8 和 General Catalyst Partners的追捧。这也正是青藤云未来的发展方向。

12

参考资料

1.云计算:(Cloud Computing)描述了一种基于互联网的新的IT服务增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展而且经常是虚拟化的资源。云计算是继1980年代大型计算机到...详情>>

2.SDN:(Software Defined Network,软件定义网络)是一种新型的开放网络创新架构。最初是由美国斯坦福大学研究组提出,OpenFlow通过将网络设备控制面与数据面分离开来,从而实现...详情>>

3.私有云:(Private cloud)是将云基础设施与软硬件资源建立在防火墙内,以供机构或企业内各部门共享数据中心内的资源。私有云完全为特定组织而运作的云端基础设施,管理者可能是组织...详情>>

4.公有云:(Public Cloud)是第三方提供一般公众或大型产业集体使用的云端基础设施,拥有它的组织出售云端服务,系统服务提供者借由租借方式提供客户有能力部署及使用云端服务。它能...详情>>

5.IaaS:(Infrastructure as a service )是消费者使用处理、储存、网络以及各种基础运算资源,部署与执行操作系统或应用程式等各种软件。客户端无须购买服务器、软件等网络设备,...详情>>

6.PaaS:平台即服务(Platform as a Service,简称)是一种云计算服务,提供运算平台与解决方案堆栈即服务。在云计算的典型层级中,平台即服务层介于软件即服务与基础设施即服务之间...详情>>

7.SaaS:软件即服务(Software as a Service,简称)有时被作为“即需即用软件”(即“一经要求,即可使用”)提及,它是一种软件交付模式。在这种交付模式中云端集中式托管软件及其...详情>>

8.大数据:(Big Data),研究机构Gartner给出了这样的定义。“大数据”是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。 ...详情>>

9.DDoS:分布式拒绝服务(:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务...详情>>

[责任编辑:网络安全 lin_hongji@cnw.com.cn]