“云”在传统意义上指的是一种自然状态,然而现在它更多的是以一种IT领域的新概念出现在我们的视野中。“云”直接依托于“云计算”,是一种透过网络将庞大的计算处理程序自动分拆成无数个较小的子程序,再交由多部服务器所组成的庞大系统经搜寻、计算分析之后将处理结果回传给用户的新技术。
自从“云”的概念被Google提出之后,业界便从没有停止过对“云”的探讨与争论,如何理解云,如何利用云成为了争论的焦点。而随着“云计算”、 “云存储”的出现,“云安全”作为一个衍生概念被中国安全企业率先提出,那么“云安全”是真的像安全厂商们宣传的那么诱人,还只是“看起来很美”呢?
云安全:一场喧闹的“盛宴”
关于“云安全”,业界还没有一个统一的定义,一般认为,“云安全(Cloud Security)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到服务器端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
几乎是在一夜之间,公众们发现这个在以前略显生僻的概念以一种惊人的速度占领了他们的眼球。瑞星、趋势、卡巴斯基、迈克菲、赛门铁克、江民科技、熊猫、金山、360安全卫士等国内外安全厂商都 “一窝蜂”推出了云安全解决方案。在官方声明中,瑞星声称:“‘瑞星全功能安全软件2010’(三年版)基于全球领先的‘云安全’系统,利用互联网化技术,对1.5亿用户的安全信息进行动态分析,大大提高了对新病毒的反应速度和查杀能力,其查杀速度提高了40%至60% 。”金山毒霸在最近更是跳过了2010版,直接发布了金山毒霸2011版,号称“全面引用了云安全的技术,颠覆了传统的杀毒技术,称得上是国内首款真正的云杀毒软件……”
抛开商业层面的争论,在事实上,现有的“云安全杀毒软件”均不能算是严格意义的云安全解决方案,其在本质上最多属于瘦客户端模式,主要的工作仍是在用户端而非云端进行。 “分布式计算、网络采集这些技术早在几年之前便已经在一些杀毒软件中得到应用,而今天看来,这些技术都成了“云安全”的代表。大多数安全厂商所作的仅是换一个招牌,贴上“云安全”几个字便大肆炒作。国内知名安全厂商,傲盾公司技术总监李军这样告诉我们。
相对应的是,越来越多的用户开始意识到,那些他们曾报以重大期望的云安全软件并不像他们想象的效果那么好。安全厂商们也开始意识到,“云安全”这个噱头在吸引用户的眼球之后并不能获得稳定的用户信任,其在市场竞争中的作用也不如期望。一个显而易见的例子是,在最近半年内,出现在主流IT媒体的关于 “云安全”的文章呈现出了稳步下降趋势。
云安全和安全云
网络安全,并不简单的是指用户不受网络攻击,还囊括了诸如用户隐私,信息机密等内容方面的安全,一个完善的安全解决方案应该让用户既能防范网络攻击,又能确保自己信息的完整性与隐私性。
不幸的是,“云”从诞生开始就伴随着安全方面的忧虑,在安全专家们看来,云主要面临的安全问题有:云计算的服务特点是以服务为中心的,面向服务、软件级平台、平台级服务、基础设施级服务。这也就意味着云计算是面向大众,以人为本,对专业领域数据加密能力不强;云时代要求用户将自己的信息上传到云端,这就引起了用户关于隐私方面的极大担忧:这些信息由谁保管,存放在什么地方,谁有权限查看我的信息?这些担忧让很多用户包括企业用户对云都存在着极大的质疑,也在相当大程度上阻碍了云的发展。
关于云的安全性的争论一直没有停止过。就拿最早提出“云”概念的谷歌来说,就有报道指出其“云”服务器不断搜集着用户的各种私人信息,而用户担忧的是,一旦这种信息泄露,自身将会面临各种各样不确定的风险。
由此可见,在现阶段把网络安全建立在一个存在诸多安全隐患的“云”的基础之上本身就是一个“伪命题”。更为致命的是,用户对安全厂商并非完全信任,他们担忧自身权益在一个纯网络架构中是否能得到充分保障。2010年2月份,瑞星攻击360,声称360会私下开设“后门”,黑客可以利用此“后门”对系统注册表和用户信息(文件)进行任意操作,例如读取、修改、删除等,在网络安全界一度引发轩然大波。
更让人担心的是,云时代让国家、民族之间的界限变得越来越模糊,任何一个处于其中的国家都很难保持自身云系统的独立性。一旦国际形势突变,国外的云服务提供商与政府、军方合作,那么受着云安全系统保护的重要单位将处于严重的危险之中。从这方面来看,在网络安全领域推行“云”是极其困难的事情。
所以,当安全厂商对云安全进行大肆宣传的时候,他们自己也明白这种宣传炒作的成分有多大。如果不能解决安全云的问题,那么云安全也就始终难以得到大规模的推广。
云安全:一个大鱼吃小鱼的游戏?
2009年4月,谷歌与VMware就私有云问题引发了激烈的争论,VMware公司想帮助企业管理他们自己的云,而谷歌则倾向于让企业将他们的 IT需求外包给外部云提供商。谷歌和VMware在私有云的认识上有所冲突,到底用户是能从在他们内部防火墙中建立高度虚拟化数据中心中受益,还是将IT需求外包给谷歌或亚马逊这样的公共云提供商更具优势?这些问题都让两家公司打起了口水仗。
抛开技术层面的争论,归根结底两家公司都是在为自身的利益而展开博弈。现在谁都知道标准与平台的重要性,一旦拥有了业界统一的标准和平台,就可以保证未来持续的利润。谷歌当然希望自己的云服务器可以成为业界认可的云提供商,这样既可以保证现有的收益,又可以借助越来越多的资源让自身的力量变得更加强大。对云安全来说,这样的担忧在业界广泛存在着。
众所周知 “云”是一种依靠大规模的节点组成的一种服务方式,加入的节点越多,能力也就越强。一旦未来云安全成为网络安全解决方案的主流,那么任何一家网络安全服务提供商就必须考虑用户基数的问题。大型的网络安全服务提供商可以利用自己发达的云网络获得足够的利益,小型的网络安全服务提供商就会发现自己陷入了一个安全循环:用户基数太少限制了自身的查杀能力,自身的查杀能力不足又进一步限制了用户的增长。他们如想得到发展就不得不选择于依附这些业界的强者,形成一种 “大鱼吃小鱼”的局面。
大部分中小型网络安全服务提供商都对云安全持有怀疑态度,利益显然是最重要的因素,毕竟谁都不想让别人掌握自己的核心资源。一位中小型安全企业的市场总监对笔者谈道:“公司现在虽然热衷于云安全的探讨,但谁也不敢下这个决策,毕竟公司实力还不够。架设私有云的话,需要大量的资金,而且用户数不足以支撑。选择公共云?安全是一个特殊的产业,一旦竞争对手掌握了我们的核心资源,我们将可能在还没壮大之前就被扼杀在摇篮里……”
“Google的那些天才科学家,每天都变着法子让Google的云计算系统变得更厉害……他有一个可以生长和进化的计算机系统!无论对谁,这都是来自Google云计算的挑战!面对挑战,中国的IT科技,应该何去何从?”这是张为民在《云计算——深刻改变未来》一书里的担忧。是的,对于云安全来说,每一个国内的安全厂商都会考虑这个问题:在那些在资源以及技术上拥有广泛优势的国外厂商的进攻之下,国内厂商还有多少生存的机会?
网络基础建设:云安全无法回避的硬伤
云计算其实是建立在一个巨大的网络基础之上,云计算无法得到大规模应用,网络无疑是最重要的因素之一。对于云安全来说,这种局限表现得更加明显。一旦网络安全服务完全转移到“云”上,那么用户将不得不接受这样的风险:一旦用户的网络发生状况或者遭受网络攻击导致用户无法连接到云端,那么这时的用户无疑是很脆弱的,遭受网络攻击的可能性也将大大增加。
悲哀的是,现在的网络状况远远不法满足“云”的需要,大量的终端无法正常的接入互联网或者接入速度缓慢,特别是在国内,据相关机构统计,中国网速远远落后于其他先进国家,排在第71位,平均速率只有1.774Mb/s。更何况,尚有大量的用户在联网方面的态度是充分而非必要,这无疑让云安全的实现变得更加困难。
网络安全技术是IT一种很特殊的技术,云安全也必须要建立在内核保护的核心技术基础之上,这使得基于网络的云安全很难得到实现。杀毒软件在病毒面前就可能会出现“有心无力”的尴尬。与此相对应的是,病毒、木马等网络攻击技术不断随着防护技术而发展,从最近几年的形势来看,针对杀毒软件自身的供给明显增多,很难想象的是,一旦在云时代安全服务被移到云端,那么这些杀毒软件如何确保自身安全都会成为一个大难题。
这也是众多网络安全服务提供商所担心的问题,因此声称推出“云安全”杀毒软件的公司广泛提供了一种瘦客户端的解决方案。如江民采用的是“沙盒”技术,“沙盒”会接管病毒调用接口或函数的行为,并会在确认为病毒行为后实行回滚机制让系统复原。瑞星在2010版中应用的全新“虚拟机”技术,在宣传力度上甚至盖过了对“云安全”概念的炒作。至于目前宣传最为多的“金山毒霸2011”,所宣称的“云安全”也只是精简本地的特征库,“蓝芯”II代杀毒引擎是其发挥作用的基本保障。
无疑,网络基础建设成了云安全无法回避的硬伤。
云安全真的是那么有效吗?
无可否认,“云”是未来的IT技术的发展方向,云技术将在相当程度上改变大家对互联网的认知,改变大家的生活。但在目前,云安全概念炒作的部分仍旧大于其实际作用。据某网站统计,已经有70%的用户对“云安全软件”的效果不满意,在一些严格的测试中,这些“云安全软件”的效果并没有体现出其相对传统安全软件的优势。
在网络安全服务提供商的宣传中,我们看到安全厂商都认为:云会让未来的世界变得更加安全。那么果真如此吗?与其它IT技术不同的是,安全技术是一项基于对抗的技术,其本身的发展也是基于对抗的。“道高一尺,魔高一丈”,期望一个网络安全解决方案能够应付所有未知的安全威胁,这本身就是荒诞的。
在云时代,云力量给网络安全赋予了更先进的技术的同时,也给网络攻击提供了新的手段。例如,在云时代,用户利用分布式计算可以更快的破译一些密码。 “同样,在新的技术支持下,分布式拒绝服务攻击的流量在最近的几年增长了十倍,少数的人就可以通过控制‘傀儡机’而达到攻击的目的。”在业界研制出第一款抗拒绝服务攻击防火墙的傲盾公司负责人对记者这样表示。
更何况,大家不得不面对着这个尴尬的现实:“看起来为了维护用户利益的网络安全产业竟是建立在网络风险的基础上,网络安全形势越严峻,网络安全产业就有可能得到更大的发展。”所有的网络安全厂商心里都是矛盾的,一方面他们希望自己的产品在抵御风险方面有良好的效果,这样可以有助于他们赢得激烈的竞争;另一方面,他们又不希望安全威胁可以被完全防范,否则他们的产品将毫无用武之地。
“云安全”看起来很美很诱人,但是要真正实现“云安全”,我们还有很长的一段路要走。