随着云计算的风靡,“云安全”也成为关键词,受到各企业用户和厂商的关注。同时各大研究机构调查显示,阻碍用户采用云计算的一个重要原因便是对云计算安全的担忧。本期《通信世界周刊》邀请赛门铁克中国区安全产品总监卜宪录、明朝万达总裁王志海、迈克菲中国区技术总监郑林等专家共同讨论相关问题。
引发政策、法规风险
问题:在企业部署云或向云迁移的过程中,常常面临的安全问题有哪些?其中最为让企业担忧的隐患是什么?
卜宪录:当前的企业IT已经突破了三个边界:一是突破了应用的边界,因为云计算及IT的变化,使得应用开发的难度降低了,企业应用越来越多;二是服务的边界发生变化,企业所需的任何服务都可以通过第三方来提供,而云计算让服务的提供方式变得更加便捷,也使企业的边界不断拓展;三是企业内部IT资产的概念变得更加模糊,现在很多基础设施并不是企业拥有的,企业真正拥有的是信息和数据。应用、服务和资产边界的变化,使IT主管对安全产品的控制力减弱,企业暴露出的安全隐患越来越多。
实际云环境的潜在风险包括恶意 软件、黑客盗窃以及机密资料的丢失。最令企业担忧的隐患是数据安全无法得到保护,比如可能面临的风险包括黑客从云提供商处盗取数据,通过云端以缺乏安全防护的方式分享敏感数据,以及无法按照政策法规的要求恢复云数据等。
王志海:海量的数据被转移到用户掌控范围之外的设备(云)上时,对具有敏感信息的企业而言,这种所谓的便利性,恰恰也是数据泄密的风险所在。目前云服务所面临的安全风险主要在以下四个方面。
一是采用数据“云”端存储技术时,云终端可以通过物理硬件防止数据从终端泄露,但由于数据是明文存储在终端,依然无法解决文档的授权管理,即如何防止员工查看非授权文件,内部失密风险仍然存在。
二是云面临多种终端的访问需求,如P C、笔记本、Pad、智能手机等。如何保证终端身份的合法性与文档存储在设备内的安全性是挑战。
三是云建设依赖于云服务商的服务能力与技术可靠性,但如何保障数据在云端的安全存储,如何保证存储在云端的数据不被运营商“监守自盗”是疑问。
四是法律和合规性风险,因为云端(服务器)所在的地域不同,使用期间可能面临的法律风险也会大不相同。虽然网络无边界,但用于进行云计算业务的服务器毕竟真实的处于法律的管辖之下,因此,对于云计算的不当应用,将可能面临极其严重的法律风险和侵权风险。
郑林:引入云计算后,从安全角度考虑,用户的数据中心主要面临以下挑战:数据中心网络设计的扁平化和高速化,逐渐从传统多层数据中心网络向平面网络架构过渡,平面网络架构使用基于数据流、非拦截、最短路径结构来最大限度提升网络性能;相对于传统数据中心,云化的数据中心内部之间的流量将会大大增加;云数据中心内部系统的虚拟化引发的新的安全问题;同时访问数据中心的客户端设备具有移动化趋势。此外,云化的数据中心和高速的Internet出口带宽也可能被黑客利用作为攻击跳板,从而给用户带来新的互联网边界责任风险,这就要求用户对云化的数据中心外发的数据流量也要进行严格的入侵分析和过滤。
现有安全产品以平台为主
问题:目前在应对这些云计算安全问题方面,业界普遍采用的方法是什么?贵方又是怎么看待的?
卜宪录:赛门铁克既能帮助用户打造自己的私有云,也能帮助用户享受到安全便利的云服务,同时,还可以把一部分产品通过云服务的方式去交付。并将进一步提高云环境的信息安全:在机密信息被存储或共享到云端之前,利用DLP和PGP加密技术对这些机密信息进行自动探测、阻止和加密。同时O3云身份和访问控制的第三层保护,将所有与云相关的安全事件聚合在一起以实现信息管理和合规性,从而为企业提供全面的云审核、取证和法规遵从打下基础。
王志海:据统计,现市面上已有的云服务商的安全产品主要是从云计算平台本身出发,围绕平台的稳定性、用户数据安全性、完整性、保密性、网络攻击防护等方面展开,主要包括系统冗余、用户安全认证、权限控制、端对端的数据传输加密、系统安全防护等技术手段,而这些安全手段并未涉及存储数据级的安全。而对于企业,不得不考虑将核心数据统一归档集中存储在第三方存储设备(云端)上后,云服务提供商能否确保企业云端数据的存储安全与访问安全。
打破传统树立全新云安全机制
问题:现在云计算安全日益得到重视,您认为未来云安全的发展趋势是什么?
卜宪录:云的问题要通过云的方式来解决,未来将引发全新的安全机制。日后几年,很多的政府机构、中小企业可能会将安全外包,通过云的方式,去进行云服务。
对于安全厂商来讲,这既是一个机遇也是一个挑战。云计算到底是令IT系统与信息资产更安全还是更不安全,这是非常值得探讨的问题。从某个角度来讲,会更安全,因为企业会依赖云服务提供商提供的服务,更会驱使IT部门适应并挖掘更新的方法保护企业系统与信息资产的安全,也就是形成全新的云安全管控机制。
王志海:目前云已经在企业级市场得到了越来越广泛的应用,而这一新I T时代的产物若要更好地向前演进,需要整个产业链成员的集体迁移,没有信息和数据安全的保障,云架构的搭建注定只能是空中楼阁。所以在未来信息安全厂商将是云发展拼图中至关重要的一块。
郑林:企业用户为了优化安全结构,降低安全防护措施的实施难度和维护复杂度、降低购买成本和运营成本,正越来越趋向于在某些领域采用SaaS 模式提供的安全服务,而不是继续采用安全设备或软件。比如基于SaaS模式的邮件安全、Web安全防护、端点安全防护等服务,在全球的应用已经非常成熟。