云安全泛指云自身及云上各種應(yīng)用的安全�����,具體包括云計(jì)算平臺(tái)系統(tǒng)安全��、數(shù)據(jù)安全存儲(chǔ)與隔離、接入認(rèn)證�����、信息傳輸安全�����、網(wǎng)絡(luò)攻擊防御����、合規(guī)性審計(jì)等�。
伴隨著組織的業(yè)務(wù)不斷增長,云安全問題日漸凸顯���,自身系統(tǒng)被入侵者攻破���,用戶數(shù)據(jù)被盜時(shí)有發(fā)生。當(dāng)用戶使用云服務(wù)時(shí)�����,首先應(yīng)該考慮數(shù)據(jù)安全�����,這正是一些信息比較敏感的客戶不愿使用云服務(wù)的原因之一。
“ 無論是私有云 ����、 公有云,在為應(yīng)用系統(tǒng)帶來可擴(kuò)展��、高可用���、訪問 便捷的 同時(shí)��, 確保 數(shù)據(jù)訪問受控���、云上業(yè)務(wù) 不被惡意 攻擊、云上系統(tǒng) 不被 入侵等都是 必須解決的根本性問題 �。 ” 國聯(lián)易安總經(jīng)理門嘉平博士表示。
“ 安全評估”要做好
2019年7月�,工信部等四部委聯(lián)合發(fā)布了《云計(jì)算服務(wù)安全評估辦法》,對黨政機(jī)關(guān)要使用經(jīng)過安全評估的云服務(wù)提出了正式要求���。2021年出臺(tái)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例征求意見》�,也規(guī)定了國家機(jī)關(guān)等政務(wù)運(yùn)營者采購云服務(wù)要通過評估���,把制度的層級(jí)上升到行政法規(guī)層面���。
云計(jì)算服務(wù)安全評估專家組副組長���、國家信息技術(shù)安全研究中心原副主任李京春表示,“十四五”期間��,在培育壯大人工智能�、大數(shù)據(jù)、區(qū)塊鏈�、云計(jì)算��、網(wǎng)絡(luò)安全等新興數(shù)字產(chǎn)業(yè)的過程��,要完善國家電子政務(wù)網(wǎng)絡(luò)�����,集約建設(shè)政務(wù)云平臺(tái)和數(shù)據(jù)中心體系����,推進(jìn)政務(wù)信息系統(tǒng)云遷移。
中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心魏昊主任也表示�����,未來的云服務(wù)安全評估工作將從以下幾個(gè)方面開展:第一,拓展評估類型��,擴(kuò)大覆蓋面�����。尤其是希望云平臺(tái)提供的服務(wù)模式����,逐步地以基礎(chǔ)設(shè)施方式為主,能夠過渡到更多的提供PaaS(平臺(tái)即服務(wù))��、或者SaaS(軟件即服務(wù))的評估;第二�,要考慮落實(shí)《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等法規(guī)政策的要求�����,在云評估當(dāng)中加強(qiáng)數(shù)據(jù)安全�����,包括個(gè)人信息保護(hù)的分擔(dān);第三,要促進(jìn)相關(guān)標(biāo)準(zhǔn)的跟進(jìn)����,同時(shí)強(qiáng)化供應(yīng)鏈安全的評估,降低斷供以及開源軟件漏洞�、過度依賴第三方運(yùn)維等風(fēng)險(xiǎn)。
“云計(jì)算 過程相對 復(fù)雜 ����, 所以選擇 云 防護(hù) 之前,首先 應(yīng)該 評估 軟件 應(yīng)用程序和 硬件陣列 的安全漏洞�����, 尤其要 檢查云應(yīng)用程序的常見漏洞 �����, 要 確保所有的安全 防護(hù)措施 到位�。” 國聯(lián)易安總經(jīng)理門嘉平博士表示�。
“彈性計(jì)劃” 要制定
隨著組織采用云技術(shù),彈性需求也應(yīng)該提上日程�。沒有一種技術(shù)是完美的,云計(jì)算亦如此���。所以�����,必須確保業(yè)務(wù)負(fù)載�,如果想在一場物理災(zāi)難或網(wǎng)絡(luò)攻擊事件中迅速恢復(fù)尤其重要。組織必須確保業(yè)務(wù)負(fù)載可以隨時(shí)恢復(fù)�����,與業(yè)務(wù)連續(xù)性的影響微乎其微�����。
云負(fù)載均衡是對多臺(tái)云服務(wù)器進(jìn)行流量分發(fā)的負(fù)載均衡服務(wù)����。云負(fù)載均衡是針對云彈性計(jì)算平臺(tái)而設(shè)計(jì),通過流量分發(fā)擴(kuò)展應(yīng)用系統(tǒng)對外的服務(wù)能力��,從而消除單點(diǎn)故障����,提升應(yīng)用的穩(wěn)定性。隨著流量的增加�����,云負(fù)載均衡可以綜合計(jì)算分析服務(wù)器的服務(wù)能力,將流量分散到不同的服務(wù)器上����。一臺(tái)機(jī)器出現(xiàn)故障不會(huì)引起服務(wù)中斷,同時(shí)后端池中機(jī)器具有相同的配置����,任何一臺(tái)機(jī)器故障也不會(huì)引起服務(wù)的中斷。當(dāng)訪問轉(zhuǎn)發(fā)到后端服務(wù)器時(shí)�,云負(fù)載均衡會(huì)記錄會(huì)話與服務(wù)的對應(yīng)關(guān)系,因此當(dāng)再一次請求產(chǎn)生時(shí)���,會(huì)將請求轉(zhuǎn)發(fā)到相同的服務(wù)處理�,從而提高處理效率����。
負(fù)載均衡和云進(jìn)行深度融合后,更加自動(dòng)化和智能化���。相比硬件負(fù)載均衡產(chǎn)品,云負(fù)載均衡支持自動(dòng)化部署��,無需人工干預(yù),可以一鍵生成負(fù)載均衡虛擬機(jī)�����,實(shí)現(xiàn)負(fù)載均衡按需生成���、自動(dòng)配置���,并自動(dòng)做一些業(yè)務(wù)編排。
“雖然負(fù)載均衡本身有諸多的安全能力����,包括應(yīng)用層抗攻擊、郵件安全���,DNS防護(hù)等�����,但是云負(fù)載均衡的安全更偏向于業(yè)務(wù)和應(yīng)用安全�。所以 ����, 組織也可以 考慮一種混合安全模式:將云中提供的服務(wù)與預(yù)置的服務(wù)混合起來����。這樣有助于減輕數(shù)據(jù)保護(hù)�����,隱私保護(hù)的壓力����。” 國聯(lián)易安總經(jīng)理門嘉平博士表示。
“ 可視化”必須有
在零信任世界里���,每個(gè)人都是局外人��,沒有適當(dāng)?shù)目梢暬筒荒鼙恍湃�。云?jì)算固然為業(yè)務(wù)運(yùn)營和服務(wù)帶來了敏捷度和可擴(kuò)展性���,但也讓我們失去了一些對云端數(shù)字資產(chǎn)的控制��。因?yàn)榱髁勘闅v于本地與云端之間�����,云端數(shù)字資產(chǎn)暴露的機(jī)會(huì)也相應(yīng)增加�����。如果無法實(shí)現(xiàn)對數(shù)字基礎(chǔ)設(shè)施的規(guī)劃���,包括運(yùn)行其全部應(yīng)用,確保云環(huán)境安全將成為一句空話����。
如果沒有流量可視化,安全威脅就無法被發(fā)現(xiàn)����,服務(wù)等級(jí)協(xié)議會(huì)因?yàn)榫W(wǎng)絡(luò)性能和故障可視化的缺失而受到波及,給業(yè)務(wù)帶來負(fù)面影響��,導(dǎo)致客戶流失和信任缺失����。所以,云上流量的可視化展現(xiàn)是非常必要的�����。雖然云負(fù)載均衡可以在一定程度上實(shí)現(xiàn)流量的可視化��,但可視化的最終目標(biāo)是要幫助客戶查看云上業(yè)務(wù)的分布、來源和響應(yīng)時(shí)間等性能指標(biāo)����,這樣才能幫助客維護(hù)和管理云上業(yè)務(wù)。
可視化如何才能做到呢?一是與公有云廠商合作��,復(fù)制流量����。但并不是所有公有云廠商都能提供可視化服務(wù),都能將云流量隨時(shí)發(fā)送到指定工具上;二是與工具廠商合作����,實(shí)現(xiàn)對公有云工作負(fù)載的可視化。
“目前 �����, 業(yè)界比較流行的做法是采用‘ 網(wǎng)絡(luò)流量安全分析系統(tǒng)’實(shí)現(xiàn)云平臺(tái)流量分析 �。 實(shí)現(xiàn)‘可見” —— 從應(yīng)用維度識(shí)別云上流量,獲取流量特性�,建立一張清晰的流量圖;‘可識(shí)’ —— 識(shí)別 專線鏈路的流量組成�,感知云上業(yè)務(wù)并發(fā)量,讓虛機(jī)的彈性擴(kuò)容有據(jù)可依��;‘可溯’ —— 回溯歷史流量數(shù)據(jù), 掌握 流量變化趨勢�����,將業(yè)務(wù)的運(yùn)營一一 展現(xiàn) ��, 從而 為業(yè)務(wù)優(yōu)化提供 決策依據(jù) ��。” 國聯(lián)易安總經(jīng)理門嘉平博士表示����。
結(jié)束語
自從2006年谷歌的CEO埃里克·施密特正式提出“Cloud Computing”概念以來���,云計(jì)算已經(jīng)經(jīng)歷了十五年的發(fā)展���。虛擬化技術(shù)、公有云����、私有云、云原生等概念也層出不窮��。
毋庸置疑�,業(yè)務(wù)上云可以助力組織更快速的實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型�����,而且更彈性����、更高效的進(jìn)行計(jì)算資源的整合��。隨著云計(jì)算業(yè)務(wù)的不斷深入�����,以及國家���、地方政府支持政策利好出臺(tái)�����,我國各地的云計(jì)算數(shù)據(jù)中心正在如雨后春筍般的迅速增長�。
“ 為了適應(yīng)云環(huán)境��,硬件產(chǎn)品向軟件產(chǎn)品轉(zhuǎn)型����、硬件交付向軟件交付轉(zhuǎn)型已經(jīng)成為業(yè)務(wù)發(fā)展的 技術(shù) 趨勢 ����。 云安全不再只是一個(gè)靜態(tài)的時(shí)間點(diǎn)����,而是持續(xù)的動(dòng)態(tài)演變,所以組織做好云技術(shù)管理和定期的網(wǎng)絡(luò)安全審查也 非常必要�����。” 國聯(lián)易安總經(jīng)理門嘉平博士表示�����。
門嘉平 國聯(lián)易安總經(jīng)理����,清華大學(xué)電子信息專業(yè)博士���、北京交通大學(xué)信息安全專業(yè)博士����。第一作者發(fā)表中英論文10余篇,參與國家標(biāo)準(zhǔn)起草與修訂工作3項(xiàng);承擔(dān)國家級(jí)重大專項(xiàng)�����、重大工程課題研發(fā)成果8項(xiàng);獲得發(fā)明專利���、著作權(quán)近300項(xiàng)����。多個(gè)國家部級(jí)單位特聘信息安全專家�、多個(gè)國家部級(jí)執(zhí)法單位特聘信息安全專家,清華大學(xué)計(jì)算機(jī)系網(wǎng)絡(luò)安全智能研究中心副主任���、清華大學(xué)無錫應(yīng)用技術(shù)研究院數(shù)字技術(shù)產(chǎn)業(yè)研究中心主任����。民建中央信息和網(wǎng)絡(luò)創(chuàng)新專委會(huì)委員���、民建中央企業(yè)家精神專委會(huì)委員��,中關(guān)村軟聯(lián)安全專業(yè)委會(huì)主任��,中關(guān)村軟件和信息服務(wù)產(chǎn)業(yè)創(chuàng)新聯(lián)盟副理事長����,中國計(jì)算機(jī)學(xué)會(huì)安全專業(yè)委員,海南國際仲裁院互聯(lián)網(wǎng)服務(wù)中心專家顧問��。
(新媒體責(zé)編:pl0902)
京公網(wǎng)安備 11010602130064號(hào)
