伴隨著組織的業(yè)務(wù)不斷增長,云安全問題日漸凸顯,自身系統(tǒng)被入侵者攻破,用戶數(shù)據(jù)被盜時有發(fā)生。當(dāng)用戶使用云服務(wù)時,首先應(yīng)該考慮數(shù)據(jù)安全,這正是一些信息比較敏感的客戶不愿使用云服務(wù)的原因之一。
“無論是私有云、公有云,在為應(yīng)用系統(tǒng)帶來可擴(kuò)展、高可用、訪問便捷的同時,確保數(shù)據(jù)訪問受控、云上業(yè)務(wù)不被惡意攻擊、云上系統(tǒng)不被入侵等都是必須解決的根本性問題。”國聯(lián)易安總經(jīng)理門嘉平博士表示。
“安全評估”要做好
2019年7月,工信部等四部委聯(lián)合發(fā)布了《云計算服務(wù)安全評估辦法》,對黨政機(jī)關(guān)要使用經(jīng)過安全評估的云服務(wù)提出了正式要求。2021年出臺《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例征求意見》,也規(guī)定了國家機(jī)關(guān)等政務(wù)運營者采購云服務(wù)要通過評估,把制度的層級上升到行政法規(guī)層面。
云計算服務(wù)安全評估專家組副組長、國家信息技術(shù)安全研究中心原副主任李京春表示,“十四五”期間,在培育壯大人工智能、大數(shù)據(jù)、區(qū)塊鏈、云計算、網(wǎng)絡(luò)安全等新興數(shù)字產(chǎn)業(yè)的過程,要完善國家電子政務(wù)網(wǎng)絡(luò),集約建設(shè)政務(wù)云平臺和數(shù)據(jù)中心體系,推進(jìn)政務(wù)信息系統(tǒng)云遷移。
中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心魏昊主任也表示,未來的云服務(wù)安全評估工作將從以下幾個方面開展:第一,拓展評估類型,擴(kuò)大覆蓋面。尤其是希望云平臺提供的服務(wù)模式,逐步地以基礎(chǔ)設(shè)施方式為主,能夠過渡到更多的提供PaaS(平臺即服務(wù))、或者SaaS(軟件即服務(wù))的評估;第二,要考慮落實《數(shù)據(jù)安全法》、《個人信息保護(hù)法》等法規(guī)政策的要求,在云評估當(dāng)中加強(qiáng)數(shù)據(jù)安全,包括個人信息保護(hù)的分擔(dān);第三,要促進(jìn)相關(guān)標(biāo)準(zhǔn)的跟進(jìn),同時強(qiáng)化供應(yīng)鏈安全的評估,降低斷供以及開源軟件漏洞、過度依賴第三方運維等風(fēng)險。
“云計算過程相對復(fù)雜,所以選擇云防護(hù)之前,首先應(yīng)該評估軟件應(yīng)用程序和硬件陣列的安全漏洞,尤其要檢查云應(yīng)用程序的常見漏洞,要確保所有的安全防護(hù)措施到位。”國聯(lián)易安總經(jīng)理門嘉平博士表示。
“彈性計劃”要制定
隨著組織采用云技術(shù),彈性需求也應(yīng)該提上日程。沒有一種技術(shù)是完美的,云計算亦如此。所以,必須確保業(yè)務(wù)負(fù)載,如果想在一場物理災(zāi)難或網(wǎng)絡(luò)攻擊事件中迅速恢復(fù)尤其重要。組織必須確保業(yè)務(wù)負(fù)載可以隨時恢復(fù),與業(yè)務(wù)連續(xù)性的影響微乎其微。
云負(fù)載均衡是對多臺云服務(wù)器進(jìn)行流量分發(fā)的負(fù)載均衡服務(wù)。云負(fù)載均衡是針對云彈性計算平臺而設(shè)計,通過流量分發(fā)擴(kuò)展應(yīng)用系統(tǒng)對外的服務(wù)能力,從而消除單點故障,提升應(yīng)用的穩(wěn)定性。隨著流量的增加,云負(fù)載均衡可以綜合計算分析服務(wù)器的服務(wù)能力,將流量分散到不同的服務(wù)器上。一臺機(jī)器出現(xiàn)故障不會引起服務(wù)中斷,同時后端池中機(jī)器具有相同的配置,任何一臺機(jī)器故障也不會引起服務(wù)的中斷。當(dāng)訪問轉(zhuǎn)發(fā)到后端服務(wù)器時,云負(fù)載均衡會記錄會話與服務(wù)的對應(yīng)關(guān)系,因此當(dāng)再一次請求產(chǎn)生時,會將請求轉(zhuǎn)發(fā)到相同的服務(wù)處理,從而提高處理效率。
負(fù)載均衡和云進(jìn)行深度融合后,更加自動化和智能化。相比硬件負(fù)載均衡產(chǎn)品,云負(fù)載均衡支持自動化部署,無需人工干預(yù),可以一鍵生成負(fù)載均衡虛擬機(jī),實現(xiàn)負(fù)載均衡按需生成、自動配置,并自動做一些業(yè)務(wù)編排。
“雖然負(fù)載均衡本身有諸多的安全能力,包括應(yīng)用層抗攻擊、郵件安全,DNS防護(hù)等,但是云負(fù)載均衡的安全更偏向于業(yè)務(wù)和應(yīng)用安全。所以,組織也可以考慮一種混合安全模式:將云中提供的服務(wù)與預(yù)置的服務(wù)混合起來。這樣有助于減輕數(shù)據(jù)保護(hù),隱私保護(hù)的壓力。”國聯(lián)易安總經(jīng)理門嘉平博士表示。
“可視化”必須有
在零信任世界里,每個人都是局外人,沒有適當(dāng)?shù)目梢暬筒荒鼙恍湃巍T朴嬎愎倘粸闃I(yè)務(wù)運營和服務(wù)帶來了敏捷度和可擴(kuò)展性,但也讓我們失去了一些對云端數(shù)字資產(chǎn)的控制。因為流量遍歷于本地與云端之間,云端數(shù)字資產(chǎn)暴露的機(jī)會也相應(yīng)增加。如果無法實現(xiàn)對數(shù)字基礎(chǔ)設(shè)施的規(guī)劃,包括運行其全部應(yīng)用,確保云環(huán)境安全將成為一句空話。
如果沒有流量可視化,安全威脅就無法被發(fā)現(xiàn),服務(wù)等級協(xié)議會因為網(wǎng)絡(luò)性能和故障可視化的缺失而受到波及,給業(yè)務(wù)帶來負(fù)面影響,導(dǎo)致客戶流失和信任缺失。所以,云上流量的可視化展現(xiàn)是非常必要的。雖然云負(fù)載均衡可以在一定程度上實現(xiàn)流量的可視化,但可視化的最終目標(biāo)是要幫助客戶查看云上業(yè)務(wù)的分布、來源和響應(yīng)時間等性能指標(biāo),這樣才能幫助客維護(hù)和管理云上業(yè)務(wù)。
可視化如何才能做到呢?一是與公有云廠商合作,復(fù)制流量。但并不是所有公有云廠商都能提供可視化服務(wù),都能將云流量隨時發(fā)送到指定工具上;二是與工具廠商合作,實現(xiàn)對公有云工作負(fù)載的可視化。
“目前,業(yè)界比較流行的做法是采用‘網(wǎng)絡(luò)流量安全分析系統(tǒng)’實現(xiàn)云平臺流量分析。實現(xiàn)‘可見”——從應(yīng)用維度識別云上流量,獲取流量特性,建立一張清晰的流量圖;‘可識’——識別專線鏈路的流量組成,感知云上業(yè)務(wù)并發(fā)量,讓虛機(jī)的彈性擴(kuò)容有據(jù)可依;‘可溯’——回溯歷史流量數(shù)據(jù),掌握流量變化趨勢,將業(yè)務(wù)的運營一一展現(xiàn),從而為業(yè)務(wù)優(yōu)化提供決策依據(jù)。”國聯(lián)易安總經(jīng)理門嘉平博士表示。
結(jié)束語
自從2006年谷歌的CEO埃里克·施密特正式提出“CloudComputing”概念以來,云計算已經(jīng)經(jīng)歷了十五年的發(fā)展。虛擬化技術(shù)、公有云、私有云、云原生等概念也層出不窮。
毋庸置疑,業(yè)務(wù)上云可以助力組織更快速的實現(xiàn)數(shù)字化轉(zhuǎn)型,而且更彈性、更高效的進(jìn)行計算資源的整合。隨著云計算業(yè)務(wù)的不斷深入,以及國家、地方政府支持政策利好出臺,我國各地的云計算數(shù)據(jù)中心正在如雨后春筍般的迅速增長。
“為了適應(yīng)云環(huán)境,硬件產(chǎn)品向軟件產(chǎn)品轉(zhuǎn)型、硬件交付向軟件交付轉(zhuǎn)型已經(jīng)成為業(yè)務(wù)發(fā)展的技術(shù)趨勢。云安全不再只是一個靜態(tài)的時間點,而是持續(xù)的動態(tài)演變,所以組織做好云技術(shù)管理和定期的網(wǎng)絡(luò)安全審查也非常必要。”國聯(lián)易安總經(jīng)理門嘉平博士表示。
門嘉平國聯(lián)易安總經(jīng)理,清華大學(xué)電子信息專業(yè)博士、北京交通大學(xué)信息安全專業(yè)博士。第一作者發(fā)表中英論文10余篇,參與國家標(biāo)準(zhǔn)起草與修訂工作3項;承擔(dān)國家級重大專項、重大工程課題研發(fā)成果8項;獲得發(fā)明專利、著作權(quán)近300項。多個國家部級單位特聘信息安全專家、多個國家部級執(zhí)法單位特聘信息安全專家,清華大學(xué)計算機(jī)系網(wǎng)絡(luò)安全智能研究中心副主任、清華大學(xué)無錫應(yīng)用技術(shù)研究院數(shù)字技術(shù)產(chǎn)業(yè)研究中心主任。民建中央信息和網(wǎng)絡(luò)創(chuàng)新專委會委員、民建中央企業(yè)家精神專委會委員,中關(guān)村軟聯(lián)安全專業(yè)委會主任,中關(guān)村軟件和信息服務(wù)產(chǎn)業(yè)創(chuàng)新聯(lián)盟副理事長,中國計算機(jī)學(xué)會安全專業(yè)委員,海南國際仲裁院互聯(lián)網(wǎng)服務(wù)中心專家顧問。
