基于云计算的安全服务研究
2011-04-02盖玲
盖 玲
(江汉大学 武汉 430056)
基于云计算的安全服务研究
盖 玲
(江汉大学 武汉 430056)
互联网应用的迅猛发展丰富和方便了人们的生产生活,亦为入侵者提供了大量的机会。不断变化和演进的攻击手段,使得传统的企业安全防护体系面临着前所未有的严峻挑战。随着云计算在各个领域的成功落地,基于云计算的安全服务已经从概念阶段过渡到了完善和推广阶段。云安全服务可以很好地解决诸多安全威胁和挑战,并在包括运营商的很多领域得到广泛的应用。
云计算;云安全服务;SLA
1 “云”将成为主流
IDC公司的一次市场调查显示,现阶段约11%的被调查企业已经采用了商业化云方案,诸如云计算平台或云服务,同时约41%正在对云方案进行评估或试用。云计算被广泛应用于企业运营管理、数据存储以及日常桌面办公等诸多方面,类似于Saleforce以及Google App等基于云的应用正在逐渐取代传统的应用模式,融入到人们实际的生活和工作中。
人们在云计算“元年”之后盘算着今后若干年云计算该如何蓬勃发展的同时,基于云计算的安全服务(cloudbased security service)逐渐浮出水面,越来越多的企业用户成为服务的受益者。云安全服务的提供商,最初主要是一些专业的安全厂商。近两年,提供公众服务的电信运营商也从关注到采纳,依托强大的电信网络资源和营销优势,推出了面向企业用户的一系列基于云计算的安全增值业务。
2 入侵者的攻击与安全防护
2.1 攻击的发展和演变
随着互联网应用的迅猛发展,基于Web的应用变得异常丰富。“HTTP is the next TCP”突出地表现为用户对浏览器的依赖达到了不可割舍的程度。越来越多的应用系统从C/S架构迁移到B/S架构,在线办公、线上游戏、网上交易以及即时通信成为趋势。互联网提供了前所未有和无以伦比的便利,并最终紧密地融入到人们的日常生产生活之中。积累了巨大财富的互联网最终造就了越来越多的互联网富翁,其中也包括入侵者。
入侵者的财富始终伴随着互联网用户的不断增加和互联网应用的不断发展而与日俱增。丰富的互联网应用客观上为入侵者提供了充分施展拳脚的广阔空间,攻击手段不断变化和演进。首先,攻击的目的越来越向应用破坏和信息窃取演变,无论是提供网站服务的服务器端资源还是作为访问者一方的用户端资源,都有可能成为入侵者攻击的目标;其次,攻击方式也变得越发复杂和五花八门,如利用Web网站和互联网应用软件(如IM等)进行网站挂马、网络钓鱼以及散布流氓软件等;最后,新的安全威胁和攻击手段越来越多,攻击的目标越来越广泛(从传统的互联网资源到工业目标),攻击传播和扩散的速度也越来越快。以APT攻击为例,持续和复杂的攻击不能不说在一定程度上打击了防护者的信心,不管采用多么严密的防护,在零日攻击面前,都毫无悬念地败下阵来。安全威胁的发展和演进带给最终用户前所未有的不安。
2.2 防护的挑战
面对不断变化的攻击手段,安全防护也在不断地变革和演进。从功能相对单一的防火墙到多层次多功能的UTM设备,再到专门用于Web防护的WAF产品;从单纯提供流量监控的IDS系统到兼具监控和控制的IPS系统;从基于Flow的流量监测到基于数据包深度分析的DPI系统,安全产品的不断推陈出新以及针对不同场景和应用的细分,为防护者提供了丰富多样的部署选择。
因此,攻防正日益演变为一场残酷的面对面博弈。遗憾的是,在很多情况下,入侵者和防护者对抗的胜者往往是前者。
首先,互联网大潮下商业模式的不断变化,使得企业越来越开放、边界越来越模糊,传统静态的边界防护模式面对不断变化的威胁时显得捉襟见肘。对于一个企业来说,很难说其系统边界在哪里,特别是采用了诸如云存储等新兴互联网商业模式的业务,由此带来应该在哪里部署以及部署什么样的安全策略等问题。防护面相对于攻击点来说,其广阔程度不可同日而语,无疑提高了防护的难度。
其次,不能不承认很多入侵者具备了专业的技能和职业的精神。不管原动力是对经济利益的追逐,还是对“翻墙”感受的渴望(前者的成分往往大于后者),单纯从攻防技能角度上讲,在很多成功入侵的案例中,攻击的一方具有比较明显的技术优势。除了技术因素之外,还有更深层面的人的意识问题。一个企业是否具有专业或专职的安全管理人员,以及管理人员自身是否具有充分的安全意识,都是决定企业能否有效防御攻击的重要甚至决定性因素。
最后,部署在企业用户现场的安全防护产品、设备的更新和升级能否跟上攻击者攻击手段变化的步伐是一个巨大的问号。现阶段防护产品仍然普遍依赖于传统的样本采集、分析、特征码生成和分发机制。恶意代码样本数量的爆发式增长,直接导致传统上依赖于特征库/签名的防护体系不堪重负。基于特征和签名识别的静态检测方式已经远远不能对现阶段迅速发展和变化的攻击手段进行有效防护。此外,如果防护设备对流经的每个数据包都进行深层次的扫描,很可能由于自身处理性能的瓶颈而最先挂掉。以广泛部署在企业边界的UTM设备为例,特征库的更新是否及时直接影响设备的防护效果。此外,可以想象,开启全部安全防护策略对于UTM设备本身就是一个噩梦。
由此可见,新业务的选择和开展、人员的安全素质以及设备的防护能力都是影响甚至制约企业能否有效防护安全威胁的重要因素。那么,如何才能规避或者缓解因业务、人员和设备对防护造成的不利影响,或者更直接地说,有什么方法可能帮助企业更好地应对不断变化和快速发展的攻击手段呢?至少有一点是明确的,防护手段必须跟上攻击手段的不断发展和变化,做到敌变我变,与时俱进,“以不变应万变”的静态防护思路已经不能满足现阶段安全防护的要求。
2.3 防护的演进
正像云计算不是偶然,而是人类文明在计算发展过程中,与互联网技术相结合步入一个崭新而必经的阶段一样,基于云计算的安全解决方案同样是互联网应用、安全威胁与安全防护3方面因素不断发展、不断演进和相互作用的必然结果。
什么是云安全?从类别上讲,可以分为云自身的安全(security in cloud)和以云的方式提供的安全防护手段(security from cloud)。云自身的安全不是本文的重点,以云的方式提供安全防护手段,换句话说,即向客户提供基于云计算的安全服务,把云计算的理念应用到安全的规划、建设和交付中去。众所周知,云计算最大的优势在于最大程度地将处于不同物理位置的各种资源逻辑地连接在一起,形成统一的资源/信息池,分布式计算、资源共享和动态伸缩性是云计算最主要的3个特点。从交付的方式上来讲,与其他云计算类似,很大程度上是以计量服务的方式提供给最终用户。
专业的云安全服务较传统的企业自身防护具有以下优势。
首先,云安全体系看起来更像是一个保持稳定和自我循环状态、进行新陈代谢的生态系统,体系中的很多安全防护策略都是自动化和不断更新的,较传统体系来说,防护策略的更新不再是以季度、月或周来进行,而是随时随地完成。这就从根本上扭转了“攻快守慢”的问题。
其次,对于企业负责安全管理的人员来说,他所需要做的就是保证部署在企业中的安全防护设备与云安全中心之间的网络连通性,或者干脆把全部的网络流量重定向到云安全中心,依托部署在中心的安全设备对流量进行全面检查和过滤。对于一些特定的应用,如企业门户/办公网站,企业的安全管理员可以通过简单的鼠标操作,购买提供商提供的远程扫描服务,对其门户网站进行随时评估。
最后,企业的防护始终是一个点,而在云安全体系中,安全设备不再是一个相对独立的“安全孤岛”,而是一个个处于完整的安全监控和防护体系之下的传感器和安全闸门,分布于不同地域的安全终端节点,既是安全防护策略的执行者,也担当了对最新攻击行为的采集和反馈工作。及时采集未知的安全攻击行为和恶意代码,通过安全专家的分析和研究,将研究成果以更新检测和防护策略的形式下发到终端节点。与此同时,安全防护策略的调度在云平台下也更为智能与合理。
3 云安全服务的机遇与风险
3.1 机遇
抛开单纯的防护能力优势,云安全服务在交付上还有很多吸引人的地方,吸引企业用户订购的3个主要的非技术层面的原因是:快速、简单和便宜。其中,省钱是吸引企业用户的首要因素。根据IDC的调查,超过50%的云计算客户选择“云”,是因为“云”相对于传统部署更便宜。用户不用购买太多的软硬件设备就可以实现相应的业务防护需求。其次,省事是打动客户的一个关键因素。与繁琐的设备上架、软件配置、设备升级、维护和扩容相比,云安全服务往往只需要企业安全管理员点击几下鼠标就可以完成部署。最后,省时不仅仅体现在快速部署即获得充分和全面的安全防护上,及时发现系统安全隐患并在入侵者利用之前堵上漏洞更是极大降低了事后恢复的时间成本。
对于提供商来说,提供云安全服务的收益和价值体现为3方面。第一,由于云安全服务往往是基于互联网的,因此可以非常便捷地接触到客户,特别是新客户。在云安全服务的框架下,原则上是不区分网内与网外客户的。换句话说,A服务提供商完全可以通过云安全服务将B的客户纳入其安全业务覆盖范围内。这对于电信运营商尤为具有吸引力。第二,降低业务交付过程中的开销。基于互联网的云安全服务的交付成本是很低的,互联网可达的地方就是可交付的所在。第三,依托差异化服务寻求更多的利润增长点。云安全服务是依托互联网开展的增值数据业务,在“一切依托互联网”的趋势下,为已投入大量资金用于自身安全建设的企业,提供了将安全变支撑为盈利的新思路和难得的机遇。
3.2 顾虑与风险
任何事物都有好的方面和存在风险的另一个方面,云安全服务亦然。IDC的资料表明,成本和价格因素并不足以影响用户最终通过采购云安全服务的决策。如何安全地获取云安全服务以及保证来自“云”的安全能够满足其全部的防护要求,同样是用户在决策过程中非常关注的方面。
打消用户在获取服务过程中有可能造成数据泄露的顾虑,可以依托VPN实现用户到服务中心间的数据交互。用户的安全管理人员对服务中心的所有访问都是通过加密隧道完成的,可以保证访问过程中数据的保密性。而对于最终用户和服务提供商都关心的SLA问题,Gartner给出的建议是服务提供商在选择云安全厂商的时候就要对这个潜在的合作伙伴进行必要的评估,好的合作伙伴和安全产品/技术是业务成功最基本的条件。
云安全服务提供商需要考虑两个非常现实的问题。一是如何与客户签订适当而合理的SLA协议,这与客户的担心类似,提供商往往与第三方安全厂商合作推出云安全服务,提供的是一个运营平台而并不是安全防护技术和设备,防护效果和设备稳定性都是运营商需要面对的风险;二是如何规避前向收费价格战,这不仅仅是商业模式的问题,无论采用哪一种收费模式 (pay per use或 pay per month),都存在前向收益的挑战—用户更倾向于价格便宜的服务。如何说服用户购买一个更好而不是更便宜的服务,是服务提供商必须仔细思考的。
对于如何在日益残酷的竞争中处于主动和领先地位,IDC和Gartner给出了相同的回答——云安全服务不是一个单纯的服务项目,而是一整套解决方案。无论是在用户的客户端部署终端设备,还是把用户流量定向到云安全中心,或者通过跨互联网远程扫描的方式进行脆弱性核查,相应的专家咨询、系统加固、现场取证以及事件追查都可以作为供企业选择的配套服务选项。
4 国外开展情况及前景
从国外的云安全开展案例来看,运营商由于其网络和渠道优势,毫无疑问地走在业界的最前面。运营商开展云安全增值服务不是偶然,互联网的蓬勃发展,加速了运营商从单一的“管道”提供商向综合服务提供商转变的进程,与互联网结合的数据业务成为运营商的核心业务和最主要的利润增长点。在云计算方面,国外运营商在几年前就以增值服务的方式推出了基于云的存储和企业管理 (如CRM)服务。云安全服务作为云计算的一种独特业务很早就得到了运营商的关注。
事实上,国外运营商以云安全服务的方式提供安全增值业务,似乎不比其他云计算服务晚多少,早在2007年就开始尝试采用“云”的方式为其用户提供安全保护服务。例如AT&T公司,从2007年开始与ScanSafe公司合作,推出基于SaaS模式的云安全服务。采用AT&T云安全服务的企业,其上网流量被重定向到部署在数据中心的ScanSafe平台上。平台系统对用户的上网流量进行检查,保证用户访问的网站和诸如电子邮件等的应用是安全的。2010年,NTT Com采用与AT&T完全不同的服务内容和模式,推出商务安全漏洞管理(biz security vulnerability management),向其企业用户提供远程脆弱性(漏洞)评估的服务。
正像前文中所阐述的,云安全服务提供商在其商业运营中遇到这样或那样的问题。其核心的问题在于客户信息保护、收费以及云安全服务的交付效果上。一方面,和其他数据业务一样,“越便宜越好”的逻辑并不完全适用云安全业务,一个丰富而完整的云安全解决方案无论对于服务提供者还是使用者都是收益的最大保证;另一方面,云安全服务是大势所趋,虽然当前技术和市场上仍存在不少问题和挑战,但是前途仍旧是光明的。
1 石屹嵘等.云计算在电信IT领域的应用探讨.电信科学,2009,25(9)
2 张敏,陈云海,林立宇.电信运营商云计算数据中心的构建分析.电信技术,2009(6)
3 钟伟彬,周梁月,潘军彪等.云计算终端的现状和发展趋势.电信科学,2010,26(3)
4 何明,郑翔,赖海光等.云计算技术发展及应用探讨.电信科学,2010,26(5)
5 段勇,朱源.IDC基础设施云的安全策略研究.电信科学,2010,26(6)
6 朱源,闻剑峰.云计算安全浅析.电信科学,2010,26(6)
7 汪来富,沈军,金华敏.云计算应用安全研究.电信科学,2010,26(6)
8 于明,胡前笑.云计算技术与业务发展策略分析.电信技术,2009(10)
9 张云勇,陈清金,潘松柏等.云计算安全关键技术分析.电信科学,2010,26(9)
10 林果园,贺珊.一种云计算环境下的安全模型.电信科学,2010,26(9)
11 琚洁慧,吴吉义,章剑林等.SaaS应用中的多租户与安全技术研究.电信科学,2010,26(10)
12 程莹,张云勇,徐雷等.基于Hadoop及关系型数据库的海量数据分析研究.电信科学,2010,26(11)
Research Based on Security Services of Cloud Computing
Gai Ling
(Jianghan University,Wuhan 430065,China)
The rapid development of Internet applications facilitates people’s work and life,as well as provides a broad space for invaders.Constantly changing and evolving methods of attack,which make the traditional enterprise security system facing unprecedented challenges.As cloud computing’s success in landing areas,cloud-based security services has moved from concept stage to the improvement and extension phase.Cloud security services can solve many security threats and challenges,including the telecom operators in many fields within a wide range of applications.
cloud computing,cloud-based security service,SLA
2011-04-13)
