云安全:多方谋攻拨云安全迷雾

尽管云计算目前或许只是炒作的噱头,但作为一种趋势,“云”时代的来临已经不可避免。随着云计算逐渐被越来越多的企业用户所了解,“云”所带来的安全问题也逐渐升温。在今年刚刚召开的世界安全(RSA)大会上,云计算的安全问题成为了绝对的主流话题,“云安全”毫无疑问已经成为2010年安全领域的最大热点之一。

思科总裁钱伯斯曾语出惊人,声称云计算将是安全的灾难,这个说法在业内也引发了一场不小的轰动。实际上,这确实也并非耸人听闻,数据保护、终端防护、虚拟环境中的风险管理等信息安全问题伴随着云计算的来临将更加复杂和棘手,企业用户的信息安全将面临更加严峻的挑战。

趋势科技2010年关于安全威胁的报告指出,云计算与虚拟化虽然能够带来可观的效益,节省大量成本,但将服务器迁移至传统信息安全边界之外,也扩大了网络犯罪者的活动范围。在云计算的道路上,如何挪开安全问题的“绊脚石”,拨开“云安全”的迷雾,已经成为各方共同关注的利益点。

企业信息安全的新趋势

实际上,抛开“云”的概念,当前开放的互联网环境已经使得安全问题更加多变和突出,并呈现出一些新的发展趋势。企业的CIO们一方面要让信息更加容易获取并提高IT对于企业的商业价值,与此同时,却不得不保护信息的安全性并符合法规要求。

根据赛门铁克发布的2010信息安全威胁趋势,多形态安全威胁将是今后的主流趋势。人们需要防范的已经远远不仅是病毒而已,社会工程学已经被网络犯罪分子使用的得心应手,在使用第三方软件时也需要更加提高警惕。

网络犯罪者将不再去攻击用户的电脑,而是直接攻击数据中心。未来,数据中心所面临的安全隐患已经防不胜防,各种安全隐患及难题大大地增加了数据中心运营商的运维难度及运营成本。而无论是终端防护还是数据中心等的安全,都随着云计算的到来而增加了安全管理的难度,这无疑是一场全新的挑战。

联想网御CTO毕学尧撰文总结2010年信息安全发展趋势指出,安全信息与事件管理渐成气候,设备越来越多,网络、主机及安全设备记录了大量日志,集中收集并综合分析,及时准确定位安全事件已成为普遍需求,是信息安全向高级阶段发展的必然趋势,也是合规性的要求;而云计算架构下如何保障安全成为真实挑战,云计算作为IT发展的下一个关键方向已经基本得到了确认,最大的阻力 ——安全问题——已经被逐渐具体化。

各方谋攻 拨开“云安全”迷雾

Cloud Security Alliance联合创始人Jim Reavis说,尽管当前对于“云”这个概念确实存在着太多的炒作,不过这个云技术和其商业模式的春秋时代,也为CIO开启了一扇至关重要的机会之门,供他们制订从“可信云”中获取最大利益的策略。

而如何协助CIO确定云计算策略,并有效地避免云计算所带来的安全隐患,国际上关于“云”的组织联盟正在做出努力。如欧洲网络及信息安全局 (ENISA)制定了“云计算风险评估”规范,而云安全联盟(CSA)发布了“云计算重点关注区域安全指导”,涵盖13个关注的领域。而这些组织制定的规范或指导所关注的关键的问题主要是法规遵守、数据管制、可移植性及互用性、身份和接入管理等。

不仅如此,无论是新兴的还是传统的信息安全解决方案提供商也纷纷发力,他们或推出独立的云安全解决方案,或合纵连横,共同解决“云”时代的安全问题。

“我们正面临着一场全新的挑战,不能用传统的基于单机版或基于局域网的信息安全保护方式保护云安全计算环境,我们需要采用新的技术和新的模式,保护云计算架构的安全。”趋势科技首席执行官陈怡桦表示。

在2010年,趋势科技将在原有的基于云计算技术架构的安全服务下,提供新的面向云计算的安全服务。也就是从Security From CloudComputing(来自云计算的防护)到Security For CloudComputing(给云计算提供防护),提出了云计算3。0的概念。

桌面到数据中心虚拟化解决方案提供商VMwareVMWARE在虚拟机保护、远程接入及终端数据防护方面已经出现了有针对性的解决方案。云计算安全服务也顺势而生。Novell云计算安全业务部门总经理Dipto Chakravarty说,Novell正在与许多SaaS(软件即服务)和托管提供商联系,以评估他们在基于云计算的安全方面与Novell合作的兴趣。

业内人士指出,若想解决云计算的安全性问题,仅仅依靠一个厂商的力量是不够的,需要业界联合起来,组成一个完整的生态系统,共同保护云计算的安全。据了解,虽然许多厂商都认识到保护云计算安全的重要性,但由于厂商各自经营范围的不同以及各自理解的不同,信息安全厂商、虚拟化技术供应商、网络基础设备供应商、服务器供应商、应用系统供应商、操作系统厂商等在保护云计算安全方面各自为政的局面在所难免,这必将使安全保护工作陷入无序的状态。因而,如何在“云安全”方面达成共识,仍是各类云计算厂商及安全厂商未来需要解决的问题。

值得关注的是,一些信息安全服务商已经在构建完成的安全生态系统方面做出了尝试。目前,趋势科技与VMware、微软等公司已开始建立“云安全”上的合作关系。继微软之后,互联网巨头谷歌近日宣布加入“云安全联盟”(Cloud Security Alliance),致力于提供最佳安全实践机会,向有意加入云计算领域的企业和组织提供有价值的信息。

总之,“云安全”仍然是有意向使用云计算的企业所担心的主要问题。只有解决了“云安全”的威胁问题,云计算或许才能真正汹涌而来,这需要各方携手去拨开“云安全”的迷雾。