随着云计算的快速发展,越来越多的企业开始将业务系统迁移至云环境中。然而,安全一直是大家担忧的重要环节。中国电信北京研究院一位专家表示,云计算在带给企业规模经济、高可用性益处的同时,其核心技术特点(虚拟化、资源共享、分布式等)也决定了它自诞生之日起就在安全性上存在着天然隐患。
此前,已经有部分安全厂商尝试推出云安全方案,如瑞星基于云安全策略开发的2009新品,每天拦截数百万次木马攻击。微软、谷歌、亚马逊等云计算应用先行者提出了云计算安全问题的初步解决方案。同时,国内三大运营商同样在尝试云安全业务,如中国电信建立了基于云计算架构的大容量DDoS攻击防御业务平台,该业务平台基于云计算架构进行构建。
今年以来,Hillstone、Checkpoint等安全企业纷纷宣布进军云安全领域,而RSA、McAfee、网秦、绿盟科技等企业也表示将继续加大云安全方案的建设。如此看来,云安全发展即将进入爆发期。“估计在2013~2014年间,云安全会进入真正的市场爆发期。”对于云安全未来发展,Hillstone电信行业首席技术专家谭仪如此表示。
云安全概念需理清
“许多用户包括安全厂商对云安全的概念有一些混淆。”McAfee技术总监郑林表示,云安全包括三个含义,一是如何去保护云计算的环境,也就是如何保护SPI等不同的云计算环境。二是如何利用“云”给用户提供服务。电信运营商或安全服务提供商可以建一个“云”,通过“云”把安全当成一种服务提供给他们的客户,即“安全SaaS服务”。三是如何利用云的技术增强安全防护的技术能力,比如采用位于云端的数据库对病毒的识别和防范能力进行增强。
“可以看出,很多时候用户需要的‘云安全’和某些安全厂商所谓的‘云安全’从概念上是不匹配的。从根本上对概念的澄清会有利于行业的发展,更好地满足用户的实际需求。” 郑林补充说。
中国联通IDC运营中心曹鲁则从当前中国联通实践云计算的角度指出,云安全包括两方面,一个是安全云计算,也就是说云计算技术在安全领域的具体应用,是云计算应用的一个分支,可以通过采用云计算技术来提升安全系统的服务效能,比如基于云计算的防病毒技术、挂马检测技术;二是云计算的应用安全,也就是说利用网络安全技术,提升云计算应用自身的安全性,主要包括如何保障云计算服务的可用性、数据机密性和完整性、隐私权的保护等,云计算应用安全是云计算应用健康可持续发展的基础。
明年或将进入“爆发期”
谈及云安全市场目前的发展情况以及未来发展趋势,谭仪表示,这几年云计算市场正处于被用户接受的早期阶段,也是云安全市场需求形成的初期。“而爆发期会在云服务提供商及云服务使用者对云计算领域深刻理解后,在规划建设及使用思路清晰化后才会进入,估计在2013~2014年间会进入真正的爆发期。”
然而安全企业发展云安全并不那么容易成功。针对目前许多安全企业扎堆推出云安全战略,一位安全企业人士告诉记者,安全企业要想建立“云安全”系统,并使之正常运行并不容易,至少需要解决四大问题:一是需要海量的客户端(云安全探针),只有拥有海量的客户端,才能对互联网上出现的病毒、木马、挂马网站有最灵敏的感知能力;二是需要专业的反病毒技术和经验;三是需要大量的资金和技术投入;四是必须是开放的系统,而且需要大量合作伙伴的加入。
上述中国电信专家则指出,随着云计算部署和实施规模的日益扩大,对云安全的研究及技术解决方案的探索将持续深入。IT巨头和电信运营商们以前所未有的速度和规模推动云计算的普及和发展,而云安全技术推出的时间不长,且网络威胁是动态变化的,所以云安全技术将永远都处于不断研发、完善和前进的过程中。
电信云安全国内外存差异
在当前的云计算浪潮中,电信运营商依托通信基础设施优势,纷纷构建云计算平台。但云环境是存在安全风险的,如果安全问题解决不到位,今后就会给企业带来巨大的损失。作为电信运营商,谁能够尽快解决好安全问题,谁就能在这一波“云化”的浪潮中占领先机。
在此形势下,电信运营商均在进行云安全研究或实践。在国内,中国电信建立了基于云计算架构的大容量DDoS攻击防御业务平台,采用“全网统一调度、并行处理、就源清洗”的处理机制,在资源的统计复用基础上极大地提高了防御能力,成为国内电信运营商第一个投向市场的云安全业务,开创了电信运营商云安全业务先河。另外,中国电信的快车道业务,主要是针对DSL和LAN拨号上网的用户,通过在电信侧集群部署多安全网关设备,构建“安全云平台”,实现安全资源池化,通过统一资源调度,为客户提供按需的安全接入服务,采用云+端协同工作机制,进行动态实时的威胁信息集中采样、共享与关联分析与策略更新,实现主动防御的目的。
在国外,主流电信运营商均在不同方面、不同程度涉足云计算领域,例如at&t、NTT docomo、Verizon、德国电信、沃达丰、法国电信、意大利电信、BT等年收入排名前12名的全球运营商均开展了IaaS、SaaS等云服务,而Orange、BT、at&t和Verizon四家国际电信运营商开展云计算服务相对广泛和深入,2010年Verizon在SaaS层面上提供了Security as a service的安全服务。
对此,谭仪分析说,国内运营商在云服务的规划和开展上紧随国外云计算的发展,在IaaS、PaaS、SaaS三个云服务模式上的安全需求与国外相同,例如自身云平台建设的安全性需求。而在对外提供的云安全服务方面,由于市场需求和接受程度不同,国内运营商与国外有所区别,国内运营商正在结合自身资源、客户的业务需求、运营及管理能力等自身特点来尝试开拓云安全服务市场。