毕学尧:怎样应对第一类安全挑战

2011年5月18日,应用与创新第三届中国云计算大会云基地专场在北京云基地二层举办。中云网作为本届云计算大会云基地专场官方指定战略合作门户网站和官方指定的合作新闻中心,进行全方位的视频、图文采访与直播。

19日下午,“应用高峰论坛”在云基地召开,网域星云副总监兼CPO毕学尧出席大会并发表主题演讲。

 

网域星云副总监兼CPO毕学尧(中云网摄)

以下是网域星云副总监兼CPO毕学尧的演讲全文:

主持人:

非常欢迎各位嘉宾光临北京云基地,我是今天论坛的主持人辛建波,我是云基地公司的董事长助理。首先我代表云基地对大家的光临表示欢迎,大家知道现在我们在召开的是第三届中国云计算大会的北京云基地的分会场。今天下午我们的论坛应该是云计算的应用与实践。

大家今天光临我们的云基地,也看到了我们北京云基地在云计算方面的产品和服务,包括我们的模块化数据服务的产品、云箱,包括我们在虚拟化的云计算操作系统方面的软件,智能的管理系统的软件。也包括了我们超云服务器,其实通过大家的参观和光临,大家可以看到我们在北京云基地已经形成了关于云计算比较完整初具规模的产业链。今年我们可以认为是云计算运用的元年,在这样一个元年我们在这里欢聚一堂一起来探讨云计算的应用,我觉得这是一个非常好的机会。

昨天我参加了由北京市一些相关部委,包括经信委、发改委、中关村管委会指导由我们北京云基地和其他两个单位主办的北京市的第二届国际云计算高层论坛,昨天上午在北京饭店举行,它的主题跟我们今天的主题一样,都是在讲云计算的应用与实践。所以云计算同前两年的呼之欲出,大家觉得有模糊的情况存在,一直到今年从运营商和各个行业的普遍应用开始,云计算已经从概念,从大家的规划落地到应用和实践。今天下午我们也邀请了几位嘉宾对云计算的应用、云计算的产品、云计算的解决方案跟大家一起做分享。

下面我们首先有请今天下午分论坛的第一位演讲嘉宾,来自网域星云的副总监兼CPO毕博士跟大家分享。

毕学尧:

大家下午好!

我是网域星云公司的CPO毕学尧,非常容幸今天下午在这里跟大家分享我们公司针对云计算安全提出的一些技术和解决方案。

首先我花一点时间简单介绍一下网域星云公司,它是一家传统的安全厂商,目前产品已经覆盖网络安全防护、应用与复制安全、安全管理等多个领域。目前在信息安全行业从业最高最全的资质,目前公司有600余人。可能大家对网域星云比较陌生,我们前身是源于1999年联想研究院的信息安全研究室在2004年专门成立了联想网域科技公司,在今年公司正式更名为网域星云,我们先后推出千兆线速防火墙。今年我们和网域星云进行资产重组,两个公司会发挥各自的优势,在新一代的计算环境当中提供新的技术和解决方案。

我们的业务战略就是这三句话,巩固网络安全业务、发展应用安全业务、布局云计算安全业务。今天我在这里跟大家汇报一下,我们针对云计算新的应用服务模式,我们怎么整合过去已经形成成熟的技术和产品,以提供新的解决方案。

大家都知道安全已经成为阻碍云计算发展的一个障碍点,这里面我们认为有三类比较大的挑战,第一个挑战就是新的计算模式带来的安全问题,从应用访问、配制管理以及用户使用方面都有相应的安全威胁。在访问方面用户数据对用户是透明的,对服务商是不是也是透明的。云资源充分共享利用能否限制越权访问,在云计算环境当中的数据是不是能够妥善的管理,能够防止用户信息泄露和越权访问。在运营商的管理方面也有威胁,在云资源的使用方面会被发动大规模攻击。

第二个挑战就是新的存储模式带来的问题,包括数据的隔离、数据的备份、恢复等等。怎么能够保证它在不同的系统当中安全隔离,在迁移的时候能够实现安全的销毁和清楚。在虚拟存储当中怎么能够实现大规模数据的备份和恢复都面临新的问题,包括遵守法律法规能够抵御大规模的风险,包括国家经济和社会生活的安全稳定,其实都涉及到新的风险管理问题。

针对这几方面的挑战,我们目前重点研究第一类挑战,就是新的计算模式带来的安全问题,这里面有这样几个问题,换个角度来看问题有这样几个挑战。一个是云计算环境它所依赖的技术大部分还是传统的网络和计算技术,它面临的威胁其实在传统的系统中同样存在。比如说拒绝服务供给问题,网络边界也在不断变化,原来可见的网络部署一下网关做访问控制,现在很多系统开始虚拟运行在一个主机当中,边界实际上退后到主机当中,怎么对虚拟操作系统进行隔离和访问控制,这样就产生了新问题。

我们在系统当中提供的应用,这些应用的用户数量非常大,访问控制的难度也比较大。怎么样对云计算环境的应用资源进行安全的接入控制,可以认为是这三个具体的问题。一个是传统的网络安全问题;第二个是应用虚拟化计算产生新的安全隐患;第三个是针对应用怎么提供应用级的保护和接入控制。

针对这个挑战我们提出来云计算安全服务,具体来说就是我们可以提供统一的云安全服务,包括流量清洗、认证授权、WEB应用安全防护、虚拟安全网关、安全审计等五大安全服务,这些服务现在我们都有独立的安全产品,而且以硬件为主。将来在云计算环境当中,除去跟流量相关的安全服务以外,还要依赖特定的硬件,其他的其实都可以通过软件以安全方式提供,这几个有相应的逻辑关系。

云计算外围的网络安全防护,我们重点提供流量清洗,可能有的人对流量清洗不是很清楚,针对很大的城域网和广域网,我们可以设置专门的流量清洗系统,对攻击进行识别、过滤和控制。在用户访问应用的过程当中我们提供认证授权服务,可以支持多种认证形式,提供访问控制。在云计算应用模式当中,以外部应用居多,针对WEB应用它又有什么独特的安全威胁,针对运行的虚拟环境当中各个主机系统来说,我们提供虚拟安全网关可以进行动态下发部署,或者在一个系统当中多个虚拟主机之间可以做到访问的隔离、访问的控制以及攻击过滤、病毒过滤等多种传统安全网关提供的功能,最后对整个应用的访问行为,我们的运行情况进行安全审计来确保用户在使用网络应用的过程当中能够把它的行为和关键的动作记录下来进行事后审计,整体上是这样一个安全服务。

这是从另外一个角度来看这个问题,用户从网域网上访问云计算的环境和应用,在访问的过程当中可以选择使用我们提供一系列安全服务。包括流量清洗、认证授权、虚拟网关和WEB安全防护和安全审计,这些服务和云计算安全环境同时存在,提供一种可定制面向应用的安全保障。

下面我详细介绍一下这几个安全服务的内容,包括三大部分,流量检测、流量清洗、流量监控管理。流量检测设备负责对实时分析网络各节点流量,如果发现每个比值段有攻击问题,把有问题的流量牵引到清洗设备上来,把过滤之后的正常流量再恢复到网络当中去,流量监控管理平台提供管理。在运行当中是这样的,首先由监控管理平台下发管理策略,同时监管整个过程,流量检测设备从骨干路由器当中采集数据进行分析,分析当中如果发现有问题下发清洗命令,由清洗设备把有问题的流量牵引到清洗设备上,当完成清洗以后把正常的流量再恢复过来。如果有大规模的攻击发生,通过这套系统可以及时发现和及时过滤。云计算数据中心实际上跟传统的城域网数据中心是类似的都面临这样的威胁,这套系统并行网络当中,正常经过下对应用访问没有影响。

同时我们还有一项智能流量清洗技术,可以保证我们发现问题以后把攻击的源头找到,找到以后可以就近通知清洗系统把攻击行为过滤掉,过滤掉以后可以做到在整个网络当中攻击被及时的消除掉。最后不会到达被攻击的网络或者系统当中。

建立统一认证授权服务平台,这方面我们也有相应的技术积累,目前对用户的应用访问我们可以提供多种认证管理模式,同时在授权上我们采用应用授权管理可以实现细密度的管理。

针对WEB应用我们提供安全防护服务平台,这个又是非常深的技术领域,针对WEB攻击目前也有几百种,常见的包括脚本等等,及时是合法的用户接进去以后同样有可能会发起攻击行为,我们通过识别和控制可以保证WEB应用正常运行。

在虚拟计算环境当中多个主机需要形成新的安全网络边界,在计算虚拟环境当中我们还可以提供虚拟网关,对各个虚拟主机之间的访问也可以进行访问控制,对它们进行攻击检查。

最后对应用访问的行为、流量清晰的情况、对安全防护控制的过程进行审计,可以防止刚才提到的越权访问以及特权访问。

最后,我简单总结一下针对云计算环境当中数据中心外围网络安全保障,我们提供流量清洗服务,保证大的数据中心不会被供给。在虚拟化计算环境下,我们提供网络安全保障,通过虚拟安全网关可以保证多个虚拟主机之间进行访问控制和分析过滤。同时在云计算应用安全保障,针对WEB应用可以提供基于WEB的攻击、检查和过滤和访问行为的安全审计。

我今天就把我们针对新的云计算应用环境下,把我们现有的技术和产品进行整合,能提供的安全服务以及怎么应对第一类安全挑战的问题简单介绍一下,希望大家批评指正,我的介绍就到这里,谢谢大家!