从CSA看云安全

标签:安全存储云计算技术模式

访客:26796  发表于:2014-01-06 16:59:09

        传统安全思维,可能是经典,但经典从来是被用来打破的,在云计算环境下更是如此。云计算打破了太多的安全金科玉律,网络边界模糊了,计算资源池化了,基础架构层与应用层之间的关系也被重新定义了,这一切都对安全提出了新挑战。

        关注云安全,每年CSA(云安全联盟高峰论坛)都颇有看点,汇聚了本年度国内安全厂商、用户对云安全最新的思考与实践。就当前的进展看,中国安全人开始以SDN的视角重新定义云计算中的网络安全、数据安全。

 

网络安全:安全域划分

        谈及网络层云安全,一个话题绕不开:如何划分安全域。传统网络安全域的划分依赖于网络的拓扑边界,而由此产生的安全技术都是对网络边界的安全保护。云计算中网络边界已模糊不清,网络资源被虚拟池化,因此,云计算网络安全解决方案必须另谋出路。

        目前,对云计算虚拟安全域的划分有两种流派:其一,以VMware为代表的虚拟化厂商,将传统安全防护设备虚拟化,与Hypervisor(虚拟化管理)功能整合,通过内部逻辑端口检测内部逻辑端口数据流量,实现虚拟机的安全管理。其二,以思科等主流交换机制造商为代表的厂商,其解决方案是识别虚拟机并将其流量引出,通过物理交换机实现流量监测。

        中国移动研究院信息安全所副所长杨光华认为,第一种方式无需改造交换机,但消耗资源多,不便灵活实施安全策略。交换机与Hypervisor层紧耦合,需采用新型交换机及更高性能的网络设备,但能实施较灵活的虚拟机流量监控策略,可扩展性强。

数据安全:密文处理是关键

        另一个广受关注的话题是: 数据安全。云计算模式使数据所有权与控制权相分离,这经常引发用户的担忧。云计算中数据安全的核心的数据加密。杨光华表示,用户在接受云安全时,经常会问我们三个问题:如何保证云计算服务商不看我们的数据?如何对密文数据进行处理?如何保证数据存储不被篡改?“传统模式下的加密和完整性验证技术无法针对密文文件进行处理,不能满足上述要求,因此,要借助新的数据保护机制。目前,中国移动较关注的数据安全关键技术包括:密文数据处理机制、密文存储数据完整性证明及审计机制、海量密文数据环境下快速检索机制。”

        启明星辰首席战略官潘柱廷以SDN(软件定义网络)的视角解读了云计算的数据安全:SDN解耦了数据、控制及应用平面,创造了一个可编程的网络。“我们正经历着一个IT生态的颠覆性变化过程,时空结构在变化,关注点从系统层向应用服务层和数据资源层攀升,价值在向人和数据靠拢,这些变化都给安全带来了机遇与挑战并存的变化。”

        绿盟科技首席战略官赵粮对此提出建议,用户应该立即动手,重视数据,建立或完善安全数据的运营体系。重视攻防和建模,基于异常和信誉的检测和防护方法重要性凸显。通过持续运营,不断优化数据和各种智能工具。

        目前,IBM等厂商针对数据安全进行了大量的研究,但实事求是地说,仍处于起步阶段。因此,数据安全还需要部分非技术手段进行规避,例如,亚马逊拒绝与美国医药巨头EliLilly公司签订网络安全隐患和服务安全风险赔偿协议;微软也提示用户:您应负责确定我们的安全性是否满足您的需求。由此可见,数据安全仍将是未来云计算面临的核心挑战之一,且从理论,到产品仍有一段很长的路要走。

评论(1)

您可以在评论框内@您的好友一起参与讨论!

    1. 汤昌岚 总觉得安全领域有点时势造英雄的感觉,CSA在云计算变革中脱颖而出

      回复[0] 2014/01/07 15:16

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");