云计算是新一代IT变革的核心,涉及互联网、IT和电信等多个行业,对社会产生了越来越广泛的影响。云计算将分散的资源(计算、存储、网络)集中整合起来,利用虚拟化和分布式计算等核心技术,向用户提供更加强大、低成本、便利、迅速、弹性、个性化的服务能力。云计算主要有公有云、私有云、社区云和混合云这四种类型,提供IaaS、PaaS、SaaS这三种服务及它们的衍生组合服务。
但是安全问题是制约云计算发展的关键因素——IDC调查显示云计算的安全问题是人们接受云服务担心的首要问题。由于云计算采用了较多新兴核心技术,相对于传统的信息服务,云计算服务的安全问题尤其引人注目。甚至有些观点认为云安全是云计算服务能否推广的关键。
安全是云计算中的主要问题
然而云安全是什么呢?应该如何保障云计算安全呢?我们联系近几年同云计算安全一同被我国社会公众关注的另一热点——食品安全问题,以“鱼安全”为对照浅谈下“云安全”问题。
假设打算家里做一餐“鱼宴”招待客人,您一定会要保障“鱼安全”;看,这和我们保障“云安全”是多么的类似!那么在这个“食品卫生问题”这类安全威胁横行的时代,如何保证“鱼安全”呢?《CSA:云计算关键领域安全指南V3.0》对各种云服务和部署模式中安全问题的13个域归类为治理域和运行域,治理域范畴很宽,解决云计算环境的战略和策略,而运行域则关注于更战术性的安全考虑以及在架构内的实现。接下来,我们按照这个归类谈谈如何在治理域和运行域做到“鱼安全”。
首先,我们需要购买一条鱼。想要得到一条健康的鱼,我们需要从正规的鱼摊/超市这样的渠道去采购,这里就做到“鱼安全”的第一步,类似云安全的治理和企业风险管理,良好开发的信息安全治理过程是有效地治理和企业风险管理的前提;确保在任何云部署模型中都有适当的信息安全贯穿于信息供应链(云计算服务的供应商、用户、第三方供应商)。
接着我们来检查一下食品的安全标签,如QS标志、无公害农产品标志等,看看这条鱼是不是有品质保证的。食品安全标签就是鱼供应商向我们做的法律性安全保证。这步就是云安全的合约和电子证据发现,针对云计算提供商提供合同式的安全保障。这点针对云中数据迁移、相关的云服务的协定、证据发现等主要问题,从法律层次保障了云安全,并提供有力的监管。
做到以上两步还是不够的,我们还得确认食品加工过程的作业安全是否处于监管状态之下,类似于云安全中的合规和审计管理。合规和审计管理是通过执行安全策略和相关法规来保持组织自身的合规性,为迁移到云的用户和服务提供商提供指导,完成云安全保障中的一环。
好的,我们已经找到一条健康的鱼了,这时就需要保证鱼肉保鲜安全了。对照云安全的信息管理和数据安全域保护云中系统和应用的基础数据安全的方法,“鱼安全”这一步需要新策略和技术架构,最好以鱼肉安全周期(数据安全生命周期)为基础判断当前应用什么保鲜方法(安全策略)使用什么保鲜技术(云安全计术架构)来确保鱼肉新鲜。
现在该把鱼带回家了,我们要能维持鱼在运输途中的安全,确保鱼在不同地点能保质的传输。这一点就像云安全中的互操作性和可移植性。云计算对数据的交换和计算的互动要求较高,这就需要有高可移植性和互操作性的保证以使环境变更时能维护安全控制的一致性,云服务提供商需具备通用、标准、开放的接口及协议。
鱼安全的“治理域”
以上就是鱼安全的“治理域”了,下面就进入“运行域”的范围。要做一餐“鱼宴”招待客人,简单来说就是烹饪鱼开始啦。烹饪要求的厨房基础设置如厨具、电、煤气,以及为我们时刻反映厨房环境状态设施,是任何一个料理过程必不可少的条件。这就相当于云安全中传统安全、业务连续性和灾难恢复。这里和传统网络安全一样,是云服务必不可少的前提条件。
我们还需要保证厨房清洁卫生,这是接下来的料理工作长期稳定的进行的保障,无法想像如何在一个杂乱、垃圾满地的厨房里会做出一顿佳肴。类比云安全的数据中心运行域,需正确评估提供商的数据中心架构和运行,确保系统、数据、网络、管理、部署和人员方面的全方位相互隔离,有助于维持长期的稳定性。
厨房光光整洁是不够的,我们通常还会安装烟雾器、定时器,配备冰箱。这是为了在烹饪时给我们足够的、可寻的安全预警,提供应急补救。这就是云安全的事件响应域,参照NIST的应急处理指南,检查云计算的特性和各种为事件处理设置的服务部署模型,建立事件响应生命周期管理,充分、高效的处理云中的安全事件。
终于到了下厨的时候了,我们需要掌握火候,确保鱼安全的“应用安全”。在云服务的所有SaaS、PaaS、IaaS的所有层面,云计算对应用程序的生命周期安全都产生广泛的影响。云安全的应用安全域保护在云中运行或即将开发的应用(包括确保将某个应用迁移到或设计进云中运行是否适当,以及决定应迁移到什么类型的云平台中去)。
一条鱼是否做的出众,很大程度取决于您拥有的独特秘方。做好鱼安全的其中重要一步也是保守好这个秘方。与此相似,云安全中采用加密和密钥管理来应对云用户和提供商都需要避免数据丢失和被窃的问题。由于云环境由多个“租户”共享,数据及应用的有效隔离、在内部传输及静止状态的安全防护也依赖于加密和密钥管理。
另外,由谁来烹饪鱼这可是一个大问题。您可以亲自下厨或是指定一个信得过的好友来进行。您得对厨师进行审核,如同云安全中的身份、权限和访问管理一样,判断厨师的身份是否真实、他是否有烹调鱼的权限,同时他进入厨房也需要得到您的批准。无论如何,在准备好一切后,您希望造访厨房的是一个好厨子而不是一只饥肠辘辘的野猫。
到此为止,鱼已经做好了,但一个“鱼宴”还需要一桌好配菜,组合在一起才是“宴”。正如云安全的虚拟化域,由于虚拟化作为核心技术之一给云计算带来巨大好处的同时,也带来了一系列严重的网络安全防护问题(操作系统虚拟化、多租户、VM 隔离、VM共居、hypervisor脆弱性等)。我们应该特别注重系统和硬件虚拟化相关的安全问题,这样才是做到了一个完整的云安全。
鱼安全的“运行域”
最后,以上所有的鱼安全控制的措施可以看成一个“鱼安全保证”的服务(看看我们云安全的Security as a Service服务)。您可以直接订制这个服务,比如说找个专业的酒店(我们的云安全提供商)直接为您做一个盛大又安全的“鱼宴”。
文章到了这里就要结束了。我们类比一场“鱼宴”中的“鱼安全”问题,对云计算的“云安全”进行了简要的介绍,希望您能对云安全有个大体的了解。在云计算兴起的当下,如同做好“鱼安全”工作一样,做好“云安全”的工作,在新兴环境下大展鸿途!(作者:杨育斌、程丽明)