“云安全(CloudSecurity)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。“云安全”是既“云计算”“云存储”之后出现的“云”技术的重要应用,已经在反病毒软件中取得了广泛的应用,发挥了良好的效果。在病毒与反病毒软件的技术竞争当中为反病毒软件夺得了先机。最早提出“云安全”这一概念的是趋势科技,2008年5月,趋势科技在美国正式推出了“云安全”技术。“云安全”的概念在早期曾经引起过不小争议,现在已经被普遍接受。值得一提的是,中国网络安全企业在“云安全”的技术应用上走到了世界前列。
云安全的过程值得一提的是,云安全的核心思想,与刘鹏早在2003年就提出的反垃圾邮件网格非常接近。刘鹏当时认为,垃圾邮件泛滥而无法用技术手段很好地自动过滤,是因为所依赖的人工智能方法不是成熟技术。垃圾邮件的最大的特征是:它会将相同的内容发送给数以百万计的接收者。
为此,可以建立一个分布式统计和学习平台,以大规模用户的协同计算来过滤垃圾邮件:
首先,用户安装客户端,为收到的每一封邮件计算出一个唯一的“指纹”,通过比对“指纹”可以统计相似邮件的副本数,当副本数达到一定数量,就可以判定邮件是垃圾邮件;
其次,由于互联网上多台计算机比一台计算机掌握的信息更多,因而可以采用分布式贝叶斯学习算法,在成百上千的客户端机器上实现协同学习过程,收集、分析并共享最新的信息。
反垃圾邮件网格体现了真正的网格思想,每个加入系统的用户既是服务的对象,也是完成分布式统计功能的一个信息节点,随着系统规模的不断扩大,系统过滤垃圾邮件的准确性也会随之提高。用大规模统计方法来过滤垃圾邮件的做法比用人工智能的方法更成熟,不容易出现误判假阳性的情况,实用性很强。反垃圾邮件网格就是利用分布互联网里的千百万台主机的协同工作,来构建一道拦截垃圾邮件的“天网”。
反垃圾邮件网格思想提出后,被IEEE Cluster 2003国际会议选为杰出网格项目在香港作了现场演示,在2004年网格计算国际研讨会上作了专题报告和现场演示,引起较为广泛的关注,受到了中国最大邮件服务提供商网易公司创办人丁磊等的重视。既然垃圾邮件可以如此处理,病毒、木马等亦然,这与云安全的思想就相去不远了。
云计算安全七宗罪云安全联盟与惠普公司共同列出了云计算的七宗罪,主要是基于对29家企业、技术供应商和咨询公司的调查结果而得出的结论。
1、数据丢失/泄漏:云计算中对数据的安全控制力度并不是十分理想,API访问权限控制以及密钥生成、存储和管理方面的不足都可能造成数据泄漏,并且还可能缺乏必要的数据销毁政策。
2、共享技术漏洞:在云计算中,简单的错误配置都可能造成严重影响,因为云计算环境中的很多虚拟服务器共享着相同的配置,因此必须为网络和服务器配置执行服务水平协议(SLA)以确保及时安装修复程序以及实施最佳做法。
3、内奸:云计算服务供应商对工作人员的背景调查力度可能与企业数据访问权限的控制力度有所不同,很多供应商在这方面做得还不错,但并不够,企业需要对供应商进行评估并提出如何筛选员工的方案。
4、如果很薄弱的话,入侵者就可以轻松获取用户帐号并登陆客户的虚拟机,因此建议主动监控这种威胁,并采用双因素身份验证机制。
5、不安全的应用程序接口:在开发应用程序方面,企业必须将云计算看作是新的平台,而不是外包。在应用程序的生命周期中,必须部署严格的审核过程,开发者可以运用某些准则来处理身份验证、访问权限控制和加密。
6、没有正确运用云计算:在运用技术方面,黑客可能比技术人员进步更快,黑客通常能够迅速部署新的攻击技术在云计算中自由穿行。
7、未知的风险:透明度问题一直困扰着云服务供应商,帐户用户仅使用前端界面,他们不知道他们的供应商使用的是哪种平台或者修复水平。
客户端问题
对于客户来说,云安全有网络方面的担忧。有一些反病毒软件在断网之后,性能大大下降。而实际应用当中也不乏这样的情况。由于病毒破坏,网络环境等因素,在网络上一旦出现问题,云技术就反而成了累赘,帮了倒忙。
解决方式
近来出现了一种“混合云”技术,将公有云与私有云相结合,既发挥了公有云用户量大的优势,又保留了本地的数据能力,结合了传统与新技术的优势,解决了不少应用问题。
企业云安全解决方案
1、内部私有云,奠定你的云计算基础
提升云安全的第一个方法:了解自己。企业需要对现有的内部私有云环境,以及企业为此云环境所构建的安全系统和程序有深刻的理解,并从中汲取经验。不要辩解说你的企业并没有建立私有云,事实上,不知不觉中,企业已经建立了内部云环境。在过去十年中,大中型企业都在设置云环境,虽然他们将其称之为"共享服务"而不是"云".这些"共享服务"包括验证服务、配置服务、数据库服务、企业数据中心等,这些服务一般都以相对标准化的硬件和操作系统平台为基础。
2、风险评估,商业安全的重要保障
提升云安全的第二种方法:对各种需要IT支持的业务流程进行风险性和重要性的评估。你可能很容易计算出采用云环境所节约的成本,但是"风险/收益比"也同样不可忽视,你必须首先了解这个比例关系中的风险因素。云服务供应商无法为企业完成风险分析,因为这完全取决于业务流程所在的商业环境。对于成本较高的服务水平协议(SLA)应用,云计算无疑是首选方案。作为风险评估的一部分,我们还应考虑到潜在的监管影响,因为监管机构禁止某些数据和服务出现在企业、州或国家之外的地区。
3、不同云模型,精准支持不同业务
提升云安全的第三种方法:企业应了解不同的云模式(公共云、私有云与混合云)以及不同的云类型(SaaS,PaaS,IaaS),因为它们之间的区别将对安全控制和安全责任产生直接影响。根据自身组织环境以及业务风险状况(见上第2条的分析),所有企业都应具备针对云的相应观点或策略。
4、SOA体系结构,云环境的早期体验
提升云安全的第四个方法:将SOA(面向服务的架构)设计和安全原则应用于云环境。多数企业在几年前就已将SOA原则运用于应用开发流程。其实,云环境不就是SOA的大规模扩展吗?面向服务的架构的下一个逻辑发展阶段就是云环境。企业可将SOA高度分散的安全执行原则与集中式安全政策管理和决策制定相结合,并直接运用于云环境。在将重心由SOA转向云环境时,企业无需重新制定这些安全策略,只需将原有策略转移到云环境即可。
5、提升云安全的第五个方法:从云服务供应商的角度考虑问题。多数企业刚开始都会把自己看作云服务用户,但是不要忘记,你的企业组织也是价值链的组成部分,你也需要向客户和合作伙伴提供服务。如果你能够实现风险与收益的平衡,从而实现云服务的利益最大化,那么你也可以遵循这种思路,适应自己在这个生态系统中的云服务供应商的角色。这样做也能够帮助企业更好地了解云服务供应商的工作流程。
6、网络安全标准,设置自身"防火墙"
提升云安全的第六个方法:熟悉企业自身,并启用网络安全标准-长期以来,网络安全产业一直致力于实现跨域系统的安全和高效管理,已经制定了多项行之有效的安全标准,并已将其用于、或即将用于保障云服务的安全。为了在云环境世界里高效工作,企业必须采用这些标准,它们包括:SAML(安全断言标记语言),SPML(服务配置标记语言),XACML(可扩展访问控制标记语言)和WS-Security(网络服务安全)。
安全认证、可信的云平台
防御吧属于创新型云服务商,其服务器、网络、存储虚拟化、弹性云主机、云数据库等核心系统及产品均为自主研发,拥有完全自主知识产权。
在安全防护体系的人工服务环节,防御吧安全工程师则会根据攻击信息,帮助用户溯源求证,准确找到攻击源头,并协助用户进行安全架构优化,减少安全隐患,全方位确保用户网站业务安全。同样的,在售后服务保障上,防御吧独特的1V1专席客服服务发挥着重要作用。专席客服会实时对用户服务器情况进行监控,并在存在异常情况下主动联合7*24小时运维追踪异常源头,及时联系用户,真正做到主动服务,最大程度实现用户网站业务的平稳增长。
众所周知,ISO9001标准是世界上许多经济发达国家质量管理实践经验的科学总结,具有通用性和指导性;并通过体系的有效应用,最大程度实现产品质量的稳定和提高,无疑是对消费者利益的一种最有效的保护。ISO/ICE27001标准则是当今国际上最权威、最严格,也是最被广泛接受和应用的信息安全领域的体系认证标准。