北京儿童插座价格联盟

让企业安全用云—《云计算综合标准化体系建设指南》解读

只看楼主 收藏 回复
  • - -
楼主


云计算无疑是对人类信息产业影响最大的商业技术之一,它不但提供了将全世界亿万台物理计算机联结成一台电脑的能力,还提供了将所有信息、所有数据、以及所有行为都联结在一起的趋势。这种联接在带来机遇的同时,也带来了危机。


为了进一步推动我国云计算发展,构建云计算综合标准化体系,用标准化手段优化资源配置,促进技术、产业、应用和安全协调发展,工信部于11月9日印发了《云计算综合标准化体系建设指南》(下文中将简称《指南》)。该《指南》从云基础标准、云资源标准、云服务标准、云安全标准四个板块全面地规划了我国的云计算综合标准化体系框架。


云安全已经成为《指南》的核心标准


在《指南》四个板块的29个标准中,有12项就属于云安全标准,可见安全标准在整个云服务体系规划架构中的重要性。作为中国最大的互联网安全公司,奇虎360认为:在云计算时代,安全问题将被重新定义,云计算技术把所有资源连在了一起的同时,也形成了一个更为庞大而复杂的系统。在三层云框架IAAS、PASS和SAAS中的每一层都引入了新技术和新系统的同时,也随之带来了新的安全问题与安全隐患。


而且,云平台固有的复杂性还会带来关联风险和安全验证的困难。一旦某个节点出现安全问题,就会威胁到同一区域的所有用户,这在无形中导致了安全问题的扩大化。因此,随着云的发展、我们所要面对的云安全问题也必将会越来越多、越来越复杂。


在这种态势下,为了指导实现云计算环境下的安全建设,《指南》从云安全基础、云安全技术与安全产品、云服务安全、云安全管理四个维度出发,制定了相关安全标准,形成了一套在云技术、云服务和云管理之间相辅相成的安全规范。《指南》在云安全基础维度,统一了安全术语、制定了安全指南、构建了云安全参考模型和框架标准;在云安全技术产品维度,规范了软件安全、设备安全、技术和产品安全等相关标准;在云服务安全维度制定了业务安全、运营安全、服务安全测评等相关标准;在云安全管理维度提出了管理基础、管理支撑技术、安全监管等相关要求,这无疑是非常有价值的。


云安全还面临着巨大的挑战


致力于云计算安全领域研究多年的奇虎360也提出了相应的云计算网络安全标准框架(如图1-1),从安全视角更全面的规划了云安全层次。如图所示,云计算的安全可分为物理安全、网络安全、云平台安全、系统安全、应用安全和数据安全六个层次。




图1-1:云安全层次图


就现状而言,最底层的基础设施物理安全一般由硬件提供商(如IDC)和云服务厂商通过高标准机房、异地多活等物理手段来共同保障。由于虚拟主机安全和应用安全层是传统安全厂商最先涉及到的领域,外加云服务厂商本身的安全局限性,促使了第三方安全厂商纷纷介入该领域,并形成了以虚拟主机安全、云监控、云防护为主流的云安全市场生态。

但云网络、云平台及云系统层面的安全问题仍需要云服务厂商直接负责。可是云厂商的主要精力往往聚焦于云平台本身的研发,没有充足的技术积累和多余的精力投入到安全研究中。

而传统安全厂商却又难以直接介入该领域的安全问题,因为如何将传统的安全防护能力快速向云端迁移仍旧是不小的难题。一方面,传统网络安全设备厂商要理解新的网络架构。想要从传统的物理网络转换到新兴的虚拟网络,除了要掌握新的网络接管规则外,还要应对如VPC、SDN这些新的网络应用场景和技术。因此想要在云计算市场上形成稳定、成熟的网络安全服务,仍需一个漫长的过程。

另一方面,在云计算时代安全事件的数据量是呈几何级数增长的,安全厂商的职责由接管一个企业的安全数据,上升到了处理整个云平台的安全数据。在这种大数据的应用场景下,传统盒子式的存储和计算能力已经无法适应大数据场景。

更为关键的是,传统安全厂商的优势技术主要集中在对传统操作系统的理解上,而云计算时代所衍生的虚拟化系统和云平台管理系统的安全问题研究仍处于相对空白的研究领域。

这三点原因直接导致了在目前的云安全架构中,云网络安全、云平台安全和云系统安全这三个层次的安全服务都相对空缺的局面。


云安全需要全面的安全保障体系


综上所诉,在云安全生态不够成熟的大环境下,云安全标准及云安全能力必将成为保障云服务厂商稳定发展的关键因素。首先,云服务商及云安全厂商必须尽快加大对新兴的安全领域的研究,补全现有云平台上的安全漏洞。

在相对薄弱的各个安全板块中,虚拟机逃逸攻击已经首当其冲地成为了云平台主要的威胁。今年5月份爆发的云平台最大漏洞“毒液”就是这样的例子,而已经被检测出的类似的漏洞还有十余种之多。值得注意的是,针对这一安全问题,市场上还没有成熟而普及的解决方案。为了积极应对这一新兴的安全威胁,360专门成立了云加固团队,目前该团队已挖掘了14枚QEMU 0day漏洞 ,4枚VMware0day漏洞,在国内外均处于绝对领先水平。

其次,为了应对平台自身的复杂性所带来的安全检测困境,云平台安全审计也必将会成为新的安全服务趋势。该服务主要是通过基础日志收集、漏洞扫描、流量安全监测,再辅以威胁情报,能够对云平台的整体安全事件进行线性审计,帮助运维人员解决云平台的深层次安全问题。

最后,由于云平台单点突破则会全网感染的特征,单一的云安全手段并不能全面解决云的安全问题,这需要一个完善的安全体系。对此,360凭借多年的安全技术积累,结合大数据安全技术、针对云计算网络安全层次架构中每一个环节的安全问题,都提出了对应的解决方案,如“天眼”、“磐云”、“安全DNS”等云安全产品,形成了健全的云安全保障能力,足以保障让国内企业安全用云。


虽然360云在国内的云安全领域中具备领先优势,但360云服务并不止步于安全,而是立志于为用户创造更稳定、更可靠、更好用的云平台及解决方案。在2015年第五届云计算安全大会上360云管理平台、360云虚拟化管理平台以及360云简单存储正式获得了由中国电子技术标准化研究院颁发的《信息技术云服务国家标准测评证书》、《信息技术云解决方案国家标准测评证书》、《信息技术弹性计算应用接口国家标准测评证书》、《信息技术云数据存储和管理国家标准测评证书》,是在本次大会上获得证书最多的企业。也唯一一家在第三批国家标准云测评工作中同时通过四项国家标准测评的云服务厂商,充分展现出360云的全面优势。


虽然云计算的概念在10年前就已经被提出,但是直到今天才发展成为被人们所理解、所接触、所应用的云产品,而就云产品的商业化市场来说,云还处于发展的初期阶段。当下,工信部所印发的《云计算综合标准化体系建设指南》,从云计算发展实际出发,构建了云计算综合标准化体系,对国内的云服务厂商起到了重要的指导及规范作用,对我国的云计算发展起到了积极的推动作用。


北京奇虎科技有限公司

360云事业部 马中一 张晓兵



戳“原文”参加360训练营有奖征文

360互联网技术训练营有奖征文

360互联网技术训练营有奖征文

360互联网技术训练营有奖征文




举报 | 1楼 回复

友情链接