本文講的是鐘博:雲安全是雲計算大規模應用的前提,5月20日訊息,第三屆
雲計算大會今天繼續在北京國家會議中心舉行。在今天下午進行的
雲計算環境下的資訊保安專題論壇中,衛士通總經理助理兼戰略合作部總經理鐘博做了《雲環境下的安全體系架構》主題演講。他表示,雲計算時代的到來是無法迴避的事實,雲的設計要安全和應用同步考慮,規劃完善的安全體系架構,這樣才能避免重蹈覆轍。
▲衛士通總經理助理兼戰略合作部總經理鐘博
鐘博表示雲安全是雲計算大規模應用的前提,現今雲安全已經上公升到****戰略的層面,雲安全不僅僅是技術問題,必須提前規劃安全體系。
鐘博談到,雲沒有像我們想象的發展那麼快乙個重大原因還是安全問題。雲的安全現狀讓人擔心,雲技術本身上講是並行的分布式網路計算機,當時的工程師本身是網路計算,工程師畫網路的時候習慣於用雲來表現,叫習慣了就叫雲。因為它是建立在網上虛擬技術上,而且這些技術本身從安全上並沒有什麼本質的突破不管是現在的寬頻網路也好,還是分布式計算模型,還有虛擬機器本身的安全還是一如既往向以前一樣存在。把這些綜合在一起,我覺得安全風險並不是減少而是加大。使用者在獲得計算儲存方面的高效能,低**同時喪失了對資訊和資料的自主控制。
鐘博認為,雲計算安全的根源:應用環境和資料脫離使用者可控範圍,資料和應用環境分離,這是導致雲計算問題的根源。誰能控制雲計算,誰就能控制資訊的主權。雲計算的基礎則是伺服器與儲存技術,中國並不是這些領域的技術與市場掌控者。這不是簡單的安全問題,而是乙個資訊主權的問題。所以說雲安全已經上公升到****層級。
鐘博繼續談到,雲計算的通訊基礎是tcp/ip網路,網路本身就不安全。同ip協議一樣,雲計算的核心技術包括包括虛擬化、分布式計算等,在設計之初並為充分考慮安全問題,存在先天不足。程式的實現手段和水平不同,有些通過c/c++實現的程式很容易導致緩衝區溢位攻擊等,引入安全漏洞。作為底層支援的作業系統在記憶體保護、資料隔離、許可權管理、身份認證,防木馬病毒攻擊等方面本身存在缺陷,通過不定方式難以**。相關的標準、法規、監管體系缺乏,沒有完整的雲安全體系。雲的設計要安全和應用同步考慮,規劃完善的安全體系架構,避免重蹈覆轍。
以hadoop為例,hadoop既實現了map計算模型,也實現了分布式檔案系統,它被設計成適合執行在通用硬體上、具有高度容錯性,適合部署在廉價的機器上。hadoop能提供高吞吐量的資料訪問,非常適合大規模資料集上的應用,它已在有數千個節點的jnu幾機組成的集群系統上得到驗證。通過分析**,資料傳輸基於tcp/ip協議,以socket方式實現,但在傳輸和儲存過程中沒有做加密。各個節點間沒有強認證機制,容易假冒。
既然有這麼多問題,就是需要建立安全的架構。我們比較贊成雲管端的模式。
從安全機制來講,我們需要考慮幾個方面,終端安全,管道安全和後台運營安全。這裡面最核心的技術就是密碼技術和加密技術。從體系架構來講,首先它需要有乙個標準,相應的體制和政策法規做規範,比如密碼管理的標準相應的法律法規,需要安全管理和安全支撐,涉及到秘鑰的管理,涉及到對證書的管理。安全支撐主要是做統一的全域性域的統一身份認證,通過雲的平台安全,管道安全,雲終端一起提供雲的安全服務。從終端安全來講,我們需要實現終端可信,接入認證,身份識別,防攻擊,抗丟失,資料丟失。手段有密碼安全晶元,安全協議,安全通訊模組,密碼模組,安全會聚裝置,終端防護系統,防木馬病毒系統。
管道的安全跟傳統的網路安全方式比較接近,需要保證資料的傳輸,後台的安全,抗網路攻擊,入侵防護和身份識別,支援vip6。雲平台安全目標實現虛擬化安全,分布式計算安全,儲存安全,節點間認證,訪問控制,日誌審計,排程安全,開發安全,應用安全。雲安全的支援實現統一使用者身份管理,統一身份認證和單點登陸,統一授權管理,統一訪問管理。從管控來講包括安全管理,金鑰管理,證書管理,安全運維。
在這個基礎上我們提出了雲計算環境安全體系架構體系,包括體制標準政策法規,就是密碼管理條例,測評認證標準,分等級保護規範等。
剛才我們提到了我們要架構自主可控雲安全計算平台,大量可以採用已有的可信計算技術,確保雲平台的自主可控。在這個基礎上我們可以做核心層的檔案過濾,包括作業系統本身不被木馬病毒攻擊。
剛才還提到了乙個安全即服務saas,包括資料安全,應用安全,邊界安全,儲存安全。
這是我們提供安全儲存服務的雲架構。它採用密碼加密為核心,實現多維度的安全,我們把安全作為一種服務專案提供,在密碼管理安全測評上是符合國家要求,再有我們安全和應用的融合,覆蓋了各種各樣的使用場景,把產業鏈串在一起,構成乙個完整的基礎設施。
kaduo
雲安全是雲計算大規模應用前提
上週雲儲存服務商dropbox遭遇了一次嚴重的安全問題,任何使用者的帳號不用密碼就可以直接訪問。問題與程式 有關,dropbox在當天更新了 結果引進了乙個影響認證系統的bug 直至4小時後他們才發現問題,並立即進行了修正。官方部落格證實,已經向在此期待登入的帳號傳送了電子郵件通知,dropbox公...
雲計算何時大規模商用
本文講的是雲計算何時大規模商用,雲計算在國內各個地方是否過熱了,是否變成了圈地運動?雲計算到底將為it行業帶來什麼?這是昨日峰會的一大熱點話題。昨天下午,在分論壇 移動互聯與雲計算 無限時空與資源 上,中國寬頻資本董事長 創始合夥人田溯寧,fortinet創始人 董事長謝青和金蝶國際軟體集團董事局主...
雲計算及雲安全複習材料
雲計算的出現和發展 nist 美國國家標準與技術研究院 對雲計算的定義 雲計算是一種模型,可以實現隨時隨地 便捷地 按需地從可配置計算資源共享池中獲取所需的資源 例如網路 伺服器 儲存 應用程式及服務 資源可以快速供給和釋放,使管理的工作量和服務提供者的介入降低至最少。雲計算並不是一項全新的技術,它...