“雲安全(Cloud Security)”技術是網路時代信息安全的最新體現,它融合了並行處理、格線計算、未知病毒行為判斷等新興技術和概念,通過網狀的大量客戶端對網路中軟體行為的異常監測,獲取網際網路中木馬、惡意程式的最新信息,推送到Server端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端。
基本介紹
- 中文名:雲安全技術
- 外文名:Cloud Security
- 類型:安全系統
- 作用:查殺病毒保護數據等
先進特點,思想來源,系統難點,雲安全應對,技術關鍵,技術分類,
先進特點
雲安全是一群探針的結果上報、專業處理結果的分享,雲安全好處是理論上可以把病毒的傳播範圍控制在一定區域內!和探針的數量、存活、及病毒處理的速度有關。
傳統的上報是人為的手動的,而雲安全是系統內自動快捷幾秒鐘內就完成的,這一種上報是最及時的,人工上報就做不到這一點。理想狀態下,從一個盜號木馬從攻擊某台電腦,到整個“雲安全”(Cloud Security)網路對其擁有免疫、查殺能力,僅需幾秒的時間
思想來源
值得一提的是,雲安全的核心思想,與劉鵬早在2003年就提出的反垃圾郵件格線非常接近。劉鵬當時認為,垃圾郵件泛濫而無法用技術手段很好地自動過濾,是因為所依賴的人工智慧方法不是成熟技術。垃圾郵件的最大的特徵是:它會將相同的內容傳送給數以百萬計的接收者。為此,可以建立一個分散式統計和學習平台,以大規模用戶的協同計算來過濾垃圾郵件:首先,用戶安裝客戶端,為收到的每一封郵件計算出一個唯一的“指紋”,通過比對“指紋”可以統計相似郵件的副本數,當副本數達到一定數量,就可以判定郵件是垃圾郵件;其次,由於網際網路上多台計算機比一台計算機掌握的信息更多,因而可以採用分散式貝葉斯學習算法,在成百上千的客戶端機器上實現協同學習過程,收集、分析並共享最新的信息。反垃圾郵件格線體現了真正的格線思想,每個加入系統的用戶既是服務的對象,也是完成分散式統計功能的一個信息節點,隨著系統規模的不斷擴大,系統過濾垃圾郵件的準確性也會隨之提高。用大規模統計方法來過濾垃圾郵件的做法比用人工智慧的方法更成熟,不容易出現誤判假陽性的情況,實用性很強。反垃圾郵件格線就是利用分布網際網路里的千百萬台主機的協同工作,來構建一道攔截垃圾郵件的“天網”。反垃圾郵件格線思想提出後,被IEEE Cluster 2003國際會議選為傑出格線項目在香港作了現場演示,在2004年格線計算國際研討會上作了專題報告和現場演示,引起較為廣泛的關注,受到了中國最大郵件服務提供商網易公司創辦人丁磊等的重視。既然垃圾郵件可以如此處理,病毒、木馬等亦然,這與雲安全的思想就相去不遠了。
系統難點
要想建立“雲安全”系統,並使之正常運行,需要解決四大問題:
第一、 需要海量的客戶端(雲安全探針)。只有擁有海量的客戶端,才能對網際網路上出現的惡意程式,危險網站有最靈敏的感知能力。一般而言安全廠商的產品使用率越高,反映應當越快,最終應當能夠實現無論哪個網民中毒、訪問掛馬網頁,都能在第一時間做出反應。
第三、 需要大量的資金和技術投入。“雲安全”系統在伺服器、頻寬等硬體需要極大的投入,同時要求安全廠商應當具有相應的頂尖技術團隊、持續的研究花費。
第四、 可以是開放的系統,允許合作夥伴的加入。“雲安全”可以是個開放性的系統,其“探針”應當與其他軟體相兼容,即使用戶使用不同的防毒軟體,也可以享受“雲安全”系統帶來的成果。
雲安全應對
漏洞掃描與滲透測試
漏洞掃描和滲透測試是所有PaaS和基礎設施即服務(IaaS)雲安全技術都必須執行的。無論他們是在雲中託管應用程式還是運行伺服器和存儲基礎設施,用戶都必須對暴露在網際網路中的系統的安全狀態進行評估。。
對於在PaaS和IaaS環境中測試API和應用程式的集成來說,與雲供應商協作的企業應重點關注處於傳輸狀態下的數據,以及通過繞過身份認證或注入式攻擊等方式對應用程式和數據的潛在非法訪問。
雲安全技術配置管理
雲安全技術中最重要的要素就是配置管理,其中包括了補丁管理。
在SaaS環境中,配置管理是完全由雲供應商負責處理的。如有可能,客戶可通過鑑證業務準則公告(SSAE)第16號、服務組織控制(SOC)報告或ISO認證以及雲安全聯盟的安全、信任和保證註冊證明向供應商提出一些補丁管理和配置管理實踐的要求。
在PaaS環境中,平台的開發與維護都是由供應商來負責的。應用程式配置與開發的庫和工具可能是由企業用戶管理的,因此安全配置標準仍然還是屬於內部定義範疇。然後,這些標準都應在PaaS環境中被套用和監控。
雲安全技術的安全控制
雲供應商負責所有基礎設施的運行,其中包括了虛擬化技術、網路以及存儲等各個方面。它還負責其相關代碼,包括了管理界面和API,所以對它的開發實踐和系統開發生命周期的評價也是非常必要的。只有IaaS客戶會對整個系統規格擁有真正的控制權;如果虛擬機是基於一個供應商提供的模板而部署的,那么在實際使用前也應對這些虛擬機進行仔細研究並確保其安全性。
技術關鍵
雲安全技術關鍵在於首先理解客戶及其需求,並設計針對這些需求的解決方案,例如全磁碟或基於檔案的加密、客戶密鑰管理、入侵檢測/防禦、安全信息和事件管理(SIEM)、日誌分析、雙重模式身份驗證、物理隔離等等。
雲安全技術的安全標準包括支付卡行業數據安全標準(PCI DSS),一個供企業保護信用卡信息的專用信息安全標準。2002年的Sarbanes-Oxley法案(SOX),它要求對支持企業披露準確性和可靠性的數據進行保護和存儲。1996年的健康保險流通與責任法案(HIPAA),它規定了受保護健康電子信息的國家級安全性標準。
技術分類
雲安全從性質上可以分為兩大類,一類是用戶的數據隱私保護,另一類是針對傳統網際網路和硬體設備的安全。
在雲安全技術方面,首先是多租戶帶來的安全問題。不同用戶之間相互隔離,避免相互影響。雲時代,需要通過一些技術防治用戶有意或無意識地"串門"。
其次,採用第三方平台帶來的安全風險問題。提供雲服務的廠商不是全部擁有自己的數據中心,一旦租用第三方的雲平台,那么這裡面就存在服務提供商管理人員許可權的問題。
