未來云安全防護(hù)體系架構(gòu)淺析


時(shí)間:2014-02-20





  1、引言

  自2006年云計(jì)算的概念產(chǎn)生以來,各類與云計(jì)算相關(guān)的服務(wù)紛紛涌現(xiàn),隨之而來的就是人們對云安全問題的關(guān)注。目前各個(gè)運(yùn)營商、服務(wù)提供商以及安全廠商所提的云安全解決方案,大都根據(jù)自己企業(yè)對云平臺安全的理解,結(jié)合本企業(yè)專長,專注于某一方面的安全。然而,對于用戶來說云平臺是一個(gè)整體,需要構(gòu)建云平臺的整體安全防護(hù)體系。

  因此,針對云計(jì)算中心的安全需求建立信息安全防護(hù)體系已經(jīng)是大勢所趨,云安全防護(hù)體系的建立,必將使云計(jì)算得以更加健康、有序的發(fā)展。

  2、云計(jì)算的安全問題解析

  云計(jì)算模式當(dāng)前已得到業(yè)界普遍認(rèn)同。成為信息技術(shù)領(lǐng)域新的發(fā)展方向。但是,隨著云計(jì)算的大量應(yīng)用。云環(huán)境的安全問題也日益突出。我們?nèi)绻荒芎芎玫亟鉀Q相關(guān)的安全管理問題,云計(jì)算就會成為過眼"浮云"。在眾多對云計(jì)算的討論中,SafeNet的調(diào)查非常具有代表性:"對于云計(jì)算面臨的安全問題。88.5%的企業(yè)對云計(jì)算安全擔(dān)憂"。各種調(diào)研數(shù)據(jù)也表明:安全性是用戶選擇云計(jì)算的首要考慮因素。近年來,云安全的概念也有多種層面的解讀,本文所指云安全是聚焦于云計(jì)算中心的安全問題及其安全防護(hù)體系。

  2.1 云安全與傳統(tǒng)安全技術(shù)的關(guān)系

  云計(jì)算引入了虛擬化技術(shù)。改變了服務(wù)方式,但并沒有顛覆傳統(tǒng)的安全模式。安全的層次劃分是大體類似,在云計(jì)算環(huán)境下,由于虛擬化技術(shù)的引入,需要納入虛擬化安全的防護(hù)措施。而在基礎(chǔ)層面上,仍然可依靠成熟的傳統(tǒng)安全技術(shù)來提供安全防護(hù)。

  云計(jì)算安全和傳統(tǒng)安全在安全目標(biāo)、系統(tǒng)資源類型、基礎(chǔ)安全技術(shù)方面是相同的,而云計(jì)算又有其特有的安全問題,主要包括虛擬化安全問題和與云計(jì)算分租服務(wù)模式相關(guān)的一些安全問題。大體上,我們可以把云安全看做傳統(tǒng)安全的一個(gè)超集,或者換句話說,云安全是傳統(tǒng)安全在云計(jì)算環(huán)境下的繼承和發(fā)展。

  綜合前面的討論,可以推導(dǎo)出一個(gè)基本的認(rèn)識,云計(jì)算的模式是革命性的:虛擬化安全、數(shù)據(jù)安全和隱私保護(hù)是云安全的重點(diǎn)和難點(diǎn)。云安全將基于傳統(tǒng)安全技術(shù)獲得發(fā)展。

  2.2 云計(jì)算的安全需求與防護(hù)技術(shù)

  解決安全問題的出發(fā)點(diǎn)是風(fēng)險(xiǎn)分析,CSA云安全聯(lián)盟提出了所謂"七重罪"的云安全重點(diǎn)風(fēng)險(xiǎn)域。

  Threat 1:Abuse and Nefarious Use of Cloud Computing(計(jì)算的濫用、惡用、拒絕服務(wù)攻擊);

  Throat 2:Insecure Interfaces and APIs(不安全的接口和API);

  Threat 3:Malicious Insiders(惡意的內(nèi)部員工);

  Threat 4:Shared Technology Issues(共享技術(shù)產(chǎn)生的問題);

  Threat 5:Data Loss or Leakage(數(shù)據(jù)泄漏);

  Threat 6:Account or Service Hijacking(賬號和服務(wù)劫持);

  Threat 7:Unknown Risk Profile(未知的風(fēng)險(xiǎn)場景)。

  信息的機(jī)密性、完整性和可用性被公認(rèn)為信息安全的三個(gè)重要的基本屬性。用戶在使用云計(jì)算服務(wù)時(shí)也會從這三個(gè)方面提出基本的信息安全需求。

  機(jī)密性安全需求:要求上傳到云端的信息及其處理結(jié)果以及所要求的云計(jì)算服務(wù)具有排他性,只能被授權(quán)人訪問或使用,不會被非法泄露。

  完整性安全需求:要求與云計(jì)算相關(guān)的數(shù)據(jù)或服務(wù)是完備、有效、真實(shí)的,不會被非法操縱、破壞、篡改、偽造,并且不可否認(rèn)或抵賴。

  可用性安全需求:要求網(wǎng)絡(luò)、數(shù)據(jù)和服務(wù)具有連續(xù)性、準(zhǔn)時(shí)性,不會中斷或延遲,以確保云計(jì)算服務(wù)在任何需要的時(shí)候能夠?yàn)槭跈?quán)使用者正常使用。

  根據(jù)云計(jì)算中心的安全需求,我們會相應(yīng)得到一個(gè)安全防護(hù)技術(shù)的層次結(jié)構(gòu):底層是基礎(chǔ)設(shè)施安全,包括基礎(chǔ)平臺安全、虛擬化安全和安全管理;中間是數(shù)據(jù)安全。上層是安全服務(wù)層面,外圍還包括安全接入相關(guān)的防護(hù)技術(shù)。

  3、等級保護(hù)背景下的云安全體系

  3.1 等級保護(hù)標(biāo)準(zhǔn)與云安全

  自1994年國務(wù)院147號令開始。信息安全等級保護(hù)體系歷經(jīng)近20年的發(fā)展,從政策法規(guī)、國家標(biāo)準(zhǔn)、到測評管理都建立了完備的體系,自2010年以來,在公安部的領(lǐng)導(dǎo)下。信息安全等級保護(hù)落地實(shí)施開展得如火如荼,信息安全等級保護(hù)已經(jīng)成為我國信息化建設(shè)的重要安全指導(dǎo)方針。

  盡管引入了虛擬化等新興技術(shù),運(yùn)營模式也從出租機(jī)房進(jìn)化到出租虛擬資源,乃至出租服務(wù)。但從其本質(zhì)上看,云計(jì)算中心仍然是一類信息系統(tǒng),需要依照其重要性不同分等級進(jìn)行保護(hù)。云計(jì)算中心的安全工作必須依照等級保護(hù)的要求來建設(shè)運(yùn)維。此外。云安全還需要考慮虛擬化等新的技術(shù)和運(yùn)營方式所帶來的安全問題。因此,云計(jì)算中心防護(hù)體系應(yīng)當(dāng)是以等級保護(hù)為指導(dǎo)思想,從云計(jì)算中心的安全需求出發(fā)。從技術(shù)和管理兩個(gè)層面全方位保護(hù)云計(jì)算中心的信息安全:全生命周期保證云計(jì)算中心的安全建設(shè)符合等保要求:將安全理念貫穿云計(jì)算中心建設(shè)、整改、測評、運(yùn)維全過程。建設(shè)目標(biāo)是要滿足不同用戶不同等保級別的安全要求。做到等保成果的可視化,做到安全工作的持久化。

  3.2 云計(jì)算中心的安全框架

  一個(gè)云計(jì)算中心的安全防護(hù)體系的構(gòu)建。應(yīng)以等級保護(hù)為系統(tǒng)指導(dǎo)思想,能夠充分滿足云計(jì)算中心的安全需求為目標(biāo)。根據(jù)前面的研究,我們提出一個(gè)云計(jì)算中心的安全框架,包括傳統(tǒng)安全技術(shù)、云安全技術(shù)和安全運(yùn)維管理三個(gè)層面的安全防護(hù)。

  云安全框架以云安全管理平臺為中心,綜合安全技術(shù)和管理運(yùn)維兩個(gè)方面的手段確保系統(tǒng)的整體安全。在安全技術(shù)方面,除了傳統(tǒng)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全、備份恢復(fù)等保障措施,還需要通過虛擬化安全防護(hù)技術(shù)和云安全服務(wù)來應(yīng)對云計(jì)算的新特征所帶來的安全要求。

  3.3 云安全防護(hù)體系架構(gòu)

  在實(shí)際的云安全防護(hù)體系建設(shè)中。首先要在網(wǎng)絡(luò)和主機(jī)等傳統(tǒng)的安全設(shè)備層面建立基礎(chǔ)信息系統(tǒng)安全防護(hù)系統(tǒng)。基礎(chǔ)信息安全防護(hù)體系是以等級保護(hù)標(biāo)準(zhǔn)為指導(dǎo)進(jìn)行構(gòu)建,符合等級保護(hù)標(biāo)準(zhǔn)對相應(yīng)安全級別的基本安全要求。

  在此基礎(chǔ)上,通過SOC安全集中管理系統(tǒng)、虛擬安全組件、SMC安全運(yùn)維管理系統(tǒng)和等保合規(guī)管理系統(tǒng)四個(gè)安全子系統(tǒng)共同組成云安全管理中心。通過實(shí)體的安全技術(shù)和虛擬化安全防護(hù)技術(shù)的協(xié)同工作,為云計(jì)算中心提供從實(shí)體設(shè)備到虛擬化系統(tǒng)的全面深度安全防護(hù),同時(shí)通過專業(yè)的SLC等保合規(guī)管理系統(tǒng)來確保云安全體系對于等級保護(hù)標(biāo)準(zhǔn)的合規(guī)性。

來源:CIO時(shí)代網(wǎng)



  版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀點(diǎn)和立場。版權(quán)事宜請聯(lián)系:010-65363056。

延伸閱讀

熱點(diǎn)視頻

第六屆中國報(bào)業(yè)黨建工作座談會(1) 第六屆中國報(bào)業(yè)黨建工作座談會(1)

熱點(diǎn)新聞

熱點(diǎn)輿情

特色小鎮(zhèn)

版權(quán)所有:中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)京ICP備11041399號-2京公網(wǎng)安備11010502003583