伴隨著組織的業(yè)務(wù)不斷增長(zhǎng),云安全問(wèn)題日漸凸顯,自身系統(tǒng)被入侵者攻破,用戶數(shù)據(jù)被盜時(shí)有發(fā)生。當(dāng)用戶使用云服務(wù)時(shí),首先應(yīng)該考慮數(shù)據(jù)安全,這正是一些信息比較敏感的客戶不愿使用云服務(wù)的原因之一。
“無(wú)論是私有云、公有云,在為應(yīng)用系統(tǒng)帶來(lái)可擴(kuò)展、高可用、訪問(wèn)便捷的同時(shí),確保數(shù)據(jù)訪問(wèn)受控、云上業(yè)務(wù)不被惡意攻擊、云上系統(tǒng)不被入侵等都是必須解決的根本性問(wèn)題。”國(guó)聯(lián)易安總經(jīng)理門嘉平博士表示。
“安全評(píng)估”要做好
2019年7月,工信部等四部委聯(lián)合發(fā)布了《云計(jì)算服務(wù)安全評(píng)估辦法》,對(duì)黨政機(jī)關(guān)要使用經(jīng)過(guò)安全評(píng)估的云服務(wù)提出了正式要求。2021年出臺(tái)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例征求意見(jiàn)》,也規(guī)定了國(guó)家機(jī)關(guān)等政務(wù)運(yùn)營(yíng)者采購(gòu)云服務(wù)要通過(guò)評(píng)估,把制度的層級(jí)上升到行政法規(guī)層面。
云計(jì)算服務(wù)安全評(píng)估專家組副組長(zhǎng)、國(guó)家信息技術(shù)安全研究中心原副主任李京春表示,“十四五”期間,在培育壯大人工智能、大數(shù)據(jù)、區(qū)塊鏈、云計(jì)算、網(wǎng)絡(luò)安全等新興數(shù)字產(chǎn)業(yè)的過(guò)程,要完善國(guó)家電子政務(wù)網(wǎng)絡(luò),集約建設(shè)政務(wù)云平臺(tái)和數(shù)據(jù)中心體系,推進(jìn)政務(wù)信息系統(tǒng)云遷移。
中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心魏昊主任也表示,未來(lái)的云服務(wù)安全評(píng)估工作將從以下幾個(gè)方面開(kāi)展:第一,拓展評(píng)估類型,擴(kuò)大覆蓋面。尤其是希望云平臺(tái)提供的服務(wù)模式,逐步地以基礎(chǔ)設(shè)施方式為主,能夠過(guò)渡到更多的提供PaaS(平臺(tái)即服務(wù))、或者SaaS(軟件即服務(wù))的評(píng)估;第二,要考慮落實(shí)《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等法規(guī)政策的要求,在云評(píng)估當(dāng)中加強(qiáng)數(shù)據(jù)安全,包括個(gè)人信息保護(hù)的分擔(dān);第三,要促進(jìn)相關(guān)標(biāo)準(zhǔn)的跟進(jìn),同時(shí)強(qiáng)化供應(yīng)鏈安全的評(píng)估,降低斷供以及開(kāi)源軟件漏洞、過(guò)度依賴第三方運(yùn)維等風(fēng)險(xiǎn)。
“云計(jì)算過(guò)程相對(duì)復(fù)雜,所以選擇云防護(hù)之前,首先應(yīng)該評(píng)估軟件應(yīng)用程序和硬件陣列的安全漏洞,尤其要檢查云應(yīng)用程序的常見(jiàn)漏洞,要確保所有的安全防護(hù)措施到位。”國(guó)聯(lián)易安總經(jīng)理門嘉平博士表示。
“彈性計(jì)劃”要制定
隨著組織采用云技術(shù),彈性需求也應(yīng)該提上日程。沒(méi)有一種技術(shù)是完美的,云計(jì)算亦如此。所以,必須確保業(yè)務(wù)負(fù)載,如果想在一場(chǎng)物理災(zāi)難或網(wǎng)絡(luò)攻擊事件中迅速恢復(fù)尤其重要。組織必須確保業(yè)務(wù)負(fù)載可以隨時(shí)恢復(fù),與業(yè)務(wù)連續(xù)性的影響微乎其微。
云負(fù)載均衡是對(duì)多臺(tái)云服務(wù)器進(jìn)行流量分發(fā)的負(fù)載均衡服務(wù)。云負(fù)載均衡是針對(duì)云彈性計(jì)算平臺(tái)而設(shè)計(jì),通過(guò)流量分發(fā)擴(kuò)展應(yīng)用系統(tǒng)對(duì)外的服務(wù)能力,從而消除單點(diǎn)故障,提升應(yīng)用的穩(wěn)定性。隨著流量的增加,云負(fù)載均衡可以綜合計(jì)算分析服務(wù)器的服務(wù)能力,將流量分散到不同的服務(wù)器上。一臺(tái)機(jī)器出現(xiàn)故障不會(huì)引起服務(wù)中斷,同時(shí)后端池中機(jī)器具有相同的配置,任何一臺(tái)機(jī)器故障也不會(huì)引起服務(wù)的中斷。當(dāng)訪問(wèn)轉(zhuǎn)發(fā)到后端服務(wù)器時(shí),云負(fù)載均衡會(huì)記錄會(huì)話與服務(wù)的對(duì)應(yīng)關(guān)系,因此當(dāng)再一次請(qǐng)求產(chǎn)生時(shí),會(huì)將請(qǐng)求轉(zhuǎn)發(fā)到相同的服務(wù)處理,從而提高處理效率。
負(fù)載均衡和云進(jìn)行深度融合后,更加自動(dòng)化和智能化。相比硬件負(fù)載均衡產(chǎn)品,云負(fù)載均衡支持自動(dòng)化部署,無(wú)需人工干預(yù),可以一鍵生成負(fù)載均衡虛擬機(jī),實(shí)現(xiàn)負(fù)載均衡按需生成、自動(dòng)配置,并自動(dòng)做一些業(yè)務(wù)編排。
“雖然負(fù)載均衡本身有諸多的安全能力,包括應(yīng)用層抗攻擊、郵件安全,DNS防護(hù)等,但是云負(fù)載均衡的安全更偏向于業(yè)務(wù)和應(yīng)用安全。所以,組織也可以考慮一種混合安全模式:將云中提供的服務(wù)與預(yù)置的服務(wù)混合起來(lái)。這樣有助于減輕數(shù)據(jù)保護(hù),隱私保護(hù)的壓力。”國(guó)聯(lián)易安總經(jīng)理門嘉平博士表示。
“可視化”必須有
在零信任世界里,每個(gè)人都是局外人,沒(méi)有適當(dāng)?shù)目梢暬筒荒鼙恍湃巍T朴?jì)算固然為業(yè)務(wù)運(yùn)營(yíng)和服務(wù)帶來(lái)了敏捷度和可擴(kuò)展性,但也讓我們失去了一些對(duì)云端數(shù)字資產(chǎn)的控制。因?yàn)榱髁勘闅v于本地與云端之間,云端數(shù)字資產(chǎn)暴露的機(jī)會(huì)也相應(yīng)增加。如果無(wú)法實(shí)現(xiàn)對(duì)數(shù)字基礎(chǔ)設(shè)施的規(guī)劃,包括運(yùn)行其全部應(yīng)用,確保云環(huán)境安全將成為一句空話。
如果沒(méi)有流量可視化,安全威脅就無(wú)法被發(fā)現(xiàn),服務(wù)等級(jí)協(xié)議會(huì)因?yàn)榫W(wǎng)絡(luò)性能和故障可視化的缺失而受到波及,給業(yè)務(wù)帶來(lái)負(fù)面影響,導(dǎo)致客戶流失和信任缺失。所以,云上流量的可視化展現(xiàn)是非常必要的。雖然云負(fù)載均衡可以在一定程度上實(shí)現(xiàn)流量的可視化,但可視化的最終目標(biāo)是要幫助客戶查看云上業(yè)務(wù)的分布、來(lái)源和響應(yīng)時(shí)間等性能指標(biāo),這樣才能幫助客維護(hù)和管理云上業(yè)務(wù)。
可視化如何才能做到呢?一是與公有云廠商合作,復(fù)制流量。但并不是所有公有云廠商都能提供可視化服務(wù),都能將云流量隨時(shí)發(fā)送到指定工具上;二是與工具廠商合作,實(shí)現(xiàn)對(duì)公有云工作負(fù)載的可視化。
“目前,業(yè)界比較流行的做法是采用‘網(wǎng)絡(luò)流量安全分析系統(tǒng)’實(shí)現(xiàn)云平臺(tái)流量分析。實(shí)現(xiàn)‘可見(jiàn)”——從應(yīng)用維度識(shí)別云上流量,獲取流量特性,建立一張清晰的流量圖;‘可識(shí)’——識(shí)別專線鏈路的流量組成,感知云上業(yè)務(wù)并發(fā)量,讓虛機(jī)的彈性擴(kuò)容有據(jù)可依;‘可溯’——回溯歷史流量數(shù)據(jù),掌握流量變化趨勢(shì),將業(yè)務(wù)的運(yùn)營(yíng)一一展現(xiàn),從而為業(yè)務(wù)優(yōu)化提供決策依據(jù)。”國(guó)聯(lián)易安總經(jīng)理門嘉平博士表示。
結(jié)束語(yǔ)
自從2006年谷歌的CEO埃里克·施密特正式提出“CloudComputing”概念以來(lái),云計(jì)算已經(jīng)經(jīng)歷了十五年的發(fā)展。虛擬化技術(shù)、公有云、私有云、云原生等概念也層出不窮。
毋庸置疑,業(yè)務(wù)上云可以助力組織更快速的實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型,而且更彈性、更高效的進(jìn)行計(jì)算資源的整合。隨著云計(jì)算業(yè)務(wù)的不斷深入,以及國(guó)家、地方政府支持政策利好出臺(tái),我國(guó)各地的云計(jì)算數(shù)據(jù)中心正在如雨后春筍般的迅速增長(zhǎng)。
“為了適應(yīng)云環(huán)境,硬件產(chǎn)品向軟件產(chǎn)品轉(zhuǎn)型、硬件交付向軟件交付轉(zhuǎn)型已經(jīng)成為業(yè)務(wù)發(fā)展的技術(shù)趨勢(shì)。云安全不再只是一個(gè)靜態(tài)的時(shí)間點(diǎn),而是持續(xù)的動(dòng)態(tài)演變,所以組織做好云技術(shù)管理和定期的網(wǎng)絡(luò)安全審查也非常必要。”國(guó)聯(lián)易安總經(jīng)理門嘉平博士表示。
門嘉平國(guó)聯(lián)易安總經(jīng)理,清華大學(xué)電子信息專業(yè)博士、北京交通大學(xué)信息安全專業(yè)博士。第一作者發(fā)表中英論文10余篇,參與國(guó)家標(biāo)準(zhǔn)起草與修訂工作3項(xiàng);承擔(dān)國(guó)家級(jí)重大專項(xiàng)、重大工程課題研發(fā)成果8項(xiàng);獲得發(fā)明專利、著作權(quán)近300項(xiàng)。多個(gè)國(guó)家部級(jí)單位特聘信息安全專家、多個(gè)國(guó)家部級(jí)執(zhí)法單位特聘信息安全專家,清華大學(xué)計(jì)算機(jī)系網(wǎng)絡(luò)安全智能研究中心副主任、清華大學(xué)無(wú)錫應(yīng)用技術(shù)研究院數(shù)字技術(shù)產(chǎn)業(yè)研究中心主任。民建中央信息和網(wǎng)絡(luò)創(chuàng)新專委會(huì)委員、民建中央企業(yè)家精神專委會(huì)委員,中關(guān)村軟聯(lián)安全專業(yè)委會(huì)主任,中關(guān)村軟件和信息服務(wù)產(chǎn)業(yè)創(chuàng)新聯(lián)盟副理事長(zhǎng),中國(guó)計(jì)算機(jī)學(xué)會(huì)安全專業(yè)委員,海南國(guó)際仲裁院互聯(lián)網(wǎng)服務(wù)中心專家顧問(wèn)。
