【IT168 评论】云的应用已经涉及到各行各业,随着企业用户对于云计算认知大大提升和国家云计算政策引导,政府和企业用户纷纷加速云落地,大家都称之为是政企云,但部署政企云面临的最后一道门槛是安全问题,谈及政企云安全问题,不仅包括了IT基础设施,还包括了政企云平台上用户数据的安全这两大类,对于IT基础设施安全层面,本次我们邀请了东软网络安全云安全业务总监崔进先生,来和大家分享一下当下的政企云安全以及未来政企云安全的发展趋势。
厂商共建安全成市场主要发展趋势
谈及政企云,崔进认为政企云平台大致可以分为两种,那就是自建私有云和在公有云平台上搭建政企云,当然这其中也涉及到两者的混合形态。从安全角度看,自建私有云和公有云上的政企云涉及的安全防护还是有很大区别的,但无论哪种形态,云计算数据中心的核心是云管理平台的安全性。
首先从自建私有云上搭建政企云谈起,崔进说:“私有云目前主要有两大技术流派:VMware平台和基于OpenStack的私有云平台厂商 (如:HPE、Huawei、IBM,etc)。前者是VMware自己的全家桶方案,相对封闭,但其在全球特别是中国拥有非常多的部署用户。后者在众多知名厂商支持下,发展极为迅速,更多采用云平台厂商和安全厂商共建安全生态圈的方式,为用户提供一揽子安全解决方案,从生态的角度看,更具活力。”
那在公有云平台上搭建政企云又是怎样一个现状?公有云厂商自身会提供基础设施层面的安全防护,应用层的安全更多依赖于其应用市场的建设,通过合作将安全厂商的产品引入其应用市场。用户在使用公有云平台的安全服务的同时,往往还需要在应用市场中购买虚拟安全产品构建应用层安全。当然目前来看无论是采用哪种方式构建政企云,厂商共建安全已成为市场的主要发展趋势,这一点是毋庸置疑的。
安全是市场对云计算环境的最大担忧
政企云想要全面开放面临着诸多方面的挑战,“人们对新鲜事物总是充满恐惧,在接受政企云之前会有一个认知期,其中安全是市场对云计算环境最大的担忧。”崔进如是说,他还谈到政企用户因其数据的特殊性对安全的要求更高,并从三个方面做出了建议:
合规性:政府需要制定并完善相关法规、技术规范和行业标准,以推动云计算产业加速健康发展。
新威胁:数据集中到一起,相应的云计算数据中心成为了以DDoS为代表的网络攻击的重点关注对象。云计算自身特性(如资源共享、弹性伸缩、动态迁移、虚拟化等)带来了新的安全问题(虚拟机逃逸,资源驻留、东西流量等),都需要重点关注和解决。
安全理念:对于政企用户,云计算中的安全职责与其交付模式(以IaaS/PaaS/SaaS为例)密切相关。如果是自建私有云,通常会提供SaaS服务,此时需要政企用户为私有云服务提供几乎100%的安全防护手段。如果是基于公有云搭建政企云,则需要与公有云运营商一起提供完整的安全服务。
软件or硬件?
政企云安全解决方案有硬件也有软件,这就对用户的选择造成了一定的困扰,当谈到对于软硬件选择性问题的时候,崔进认为这两者并不矛盾。受NFV思潮的影响,通常认为在云环境中防火墙等安全产品完全软件化了,实际上,基于不同的部署点和防护功能,两者可以共存部署。硬件负责数据中心入口处的基础防护,软件可以为租户提供高级的安全防护功能。
当然,根据用户的不同需求,可以有一定的侧重性。如果数据中心规模较小,无需对外提供租户服务,那么可以考虑更多使用硬件方案。反之,规模较大的数据中心通常有多租户的需求,此时可以更多部署软件。
东软NetEye的政企云之道
东软NetEye作为中国网络安全行业的领导厂商,自然不会放过政企云这块大蛋糕,那东软在政企云的安全建设中都做了哪些努力呢?崔进表示,关于政企云的安全,东软现在已经有NISG-VA和ADSG两款产品成功部署在VMware、Citrix、KVM、Xen、Windows Azure多种云平台上,并且已经有了很多的成功应用案例,在本次采访的不久前推出了东软云数据中心FWaas安全解决方案,在这个方案中,针对业界应用广泛的OpenStack虚拟化环境,可为客户分别提供硬件和软件的云安全解决方案。
在攻击防御方面,东软也做出了自己的努力,在此崔进向我们介绍了目前主要的两种攻击防御,DDOS攻击防御和APT攻击防御,他提到如果政企云基于公有云建设,可以使用公有云的防DDoS服务,这已经成为公有云平台的标配了。如果是自建私有云,这个问题需要用户自己解决,一般在数据中心入口处部署流量清洗设备。东软网络安全提供专业的DDoS防护设备——网络流量清洗网关(NTPG),可以有效缓解针对私有云环境的DDoS攻击。在APT攻击防御方面,东软也即将推出综合信誉匹配、启发式检测、虚拟执行、恶意行为分析、云端大数据分析构建的多层次主动威胁防御体系的APT防御系统。
加强政企云安全建设,东软有话说
加强政企云安全的建设是势在必行的,崔进提到:云安全中的各种问题依然围绕信息安全三要素来开展工作,那就是可用性,完整性,保密性,以往政企数据中心的安全问题依然存在。根据云服务平台的的反馈,DDoS攻击、漏洞攻击xss、注入类攻击等。口令暴力破解是位于前三的网络攻击类型。东软采用的基础防护手段依然是行之有效的。例如基于“信息系统等级保护标准”构建的信息系统。同时,由于云数据中心的特殊性,也引入了一些区别传统数据中心的安全问题,包括:
◆资源迁移,导致安全策略的失效。
◆资源驻留,导致租户数据泄漏。
◆网络虚拟化,引入结算节点内部的东西向流量,传统安全设备失效。
◆合规性,相关法规、行业标准的制定工作,亟需跟上。
崔进表示这些应该是政企用户完善云数据中心的重点,也很高兴地看到云平台厂商和网络安全厂商目前正在积极应对这些问题,相信在不久的将来,这些问题都可以得到很好的解决。
写在最后
采访到最后,崔进强调:云数据中心一定是未来数据处理的最终的载体。现在对云的部署和使用依然处于起步阶段,用户仍然有一些顾虑,特别是和信息安全相关的方面。解决这些问题需要回归云本身生态系统的原本定义,需要云服务商、安全厂商、政府、用户共同的努力,使得云计算服务的相关方之间运转的更加顺畅。