李健:云安全风险及可信安全架构

 12月12日,2012云世界大会隆重开幕。在“云@安全”现场,北京工业大学教授李健从高校的角度,以学者研究的视点分享了对云安全方面的真知灼见。

以下为现场演讲实录:

大家下午好,我们是高校,高校是关注各种正在发生的热点事件,也关心国家的一些非常重要的行业领域的关键问题。今天我想跟大家分享这样几个问题,一是云计算的安全风险,二是重要部门云计算设施的建设要求,三是可信云计算体系的安全架构。

云计算的安全风险

这张图是一个概要图,表现了几种云的不同模式。我们看到云应该是把服务、计算做了一个视觉化的大的改变,所以管理的服务化以及脱离你自己原来的管理,我们能看到提供的这种动态的虚拟化的资源,通过网络方式以服务的形态呈现给用户。这是一件很好的事情。你们不需要知道东西在哪儿,也不需要知道资源存在的细节,这种方法也很保险。但我们碰到一个问题,管理权和服务责任这些东西都转移到服务方了,这个时候你的数据迁移到你的视野之外了,这就比较麻烦。安全的很多问题都是由于这个特性引起来的。

过去很多单位如果出现一些情况,不管是哪个问题只要不说别人就不知道,就没有重大的泄密事件发生。但现在你的东西已经在你的视野之外了,你没有一个可以信赖的自己人的概念。所以,这种信任问题就比较严重,你必须转向依赖某些规则,这是一个很大的变革。

另外一点是资源虚拟化。资源虚拟化是很好的一件事情,它可以按需生成一些虚拟资源,动态调整一些资源,可以实现资源的迁移。这都是很好的特性,但这时候我们会看到一些东西,资源虚拟化是靠软件定制的,它非常灵活。但有两个问题,从名字就讲的很清楚,虚拟化,它没有一个物理边界。这时我们可以看到过去许多由物理边界形成的安全屏障就被弱化了,这会引起许多其他问题。虚拟化带来很多好处,大家虚拟资源的安全边界是比较弱的,这也是一个很大的问题。

关于云的安全风险有很多很多,刚才谈了两点,一个是数据在你的视野之外,失去了控制;再一个是由虚拟化引起的边界防范能力弱化,这是值得我们关注的问题。

 简单列一下风险来源。云的经销商对任何一个客户来说是不可估不可信的,这是风险的一个来源。我们要应对资源的安全,隐私保护等等,这些东西目前看是一个比较大的阻碍云发展的因素,有很多不可信、不可靠的声音让我们不敢大量的发展云的建设。

另外法规在这方面是缺失的。在服务方只能承担有限责任,只在具有有限能力的条件下应对这些难题,使上述的任务变得更为艰巨。你可能不得不依靠一个有限的服务能力服务方由他们提供服务,所以这个问题就变得更难了。

重要部门云计算设施的建设要求   

其实我们还看到另外一点,根据统计资料,应该说我们国家在云这些关键的背景下趋于虚拟化。有很多东西已经外化了,已经不在你的手里,具体实施的时候,这些工具还不是我们掌握的,这一点不是自主的,这种现象已经非常严重的。所以在一个重要部门,信息的管理我们应该遵循哪些原则,这是一个非常严重的事情。沈昌祥院士带着北工大其他的同事在国家要求层面做了一些方案。

第一,重要部门,政府部门、影响国家运行的重要行业、影响社会生活的重要行业都算重要部门。他们的云设施建设必须遵循我们国家的某些要求,这是一个强制性的规定。因为这些数据内容很多是涉及到机密性信息或者其他信息的。

第二,在我们完成保护要求的时候,按照现有的一些标准,有这么几项。一是要构造安全的需求环境,二是有安全的虚拟边界。所有这些元素应该在安全管理中心的统一管理之下去运行。一个高等级的信息系统,它的安全设计上必须由这些元素构成。可信的时候我们要做的事情是构建一个保护环境,你的硬件建成一个可信文档。按照国家比较早的一个标准,17859的要求,我们在构建的时候具体设定也有一些标准,构建一些具体的细节。

可信云计算体系的安全架构

可信保障要点,要在系统里建立一个可信的环境,对应用系统的行为进行监督。因为在云环境下,很多租户在同一环境下,有什么行为我们必须做动态的监控。我们强调今后不是盲目的分析行为,而是会基于一些行为声明,去分析他的行为。

实时探索其实有一个思路,我们现在一直在做但没有成熟的经验。要坚持正确的路线,从实际出发,这是一个基本的要求。技术平台应该怎么管理,方案怎么实施,尽管保持原有系统的功能和结构。前面的一些东西不是缺失的,现在正在做,后面的东西是缺失的,我们有一些建设的规范。我们讲对系统构成的设备的要求,这个系统整体赚钱了以后,50%以上的问题会出在管理和服务层面。这些东西怎么做?现在是处于探索阶段,没有一个规范。所以说对用户你要清楚自己的要求,不是说你把服务委托了以后你就没责任了,出了问题都是你的,到底有什么要求一定要讲清楚,并且能够列举出来,不要泛泛的讲我有哪些方面的要求,并且要求这些要求是用某种手段可以验证的,这样你列举的东西才可以有人给你做保障的,并且最好是能够证明的。

服务商要清楚你的利用服务的边界可以做到什么程度,要有适当的资质,这些东西都要逐渐的建立。目前来看,我们有产品的认定,但是整体的评估资质我们正在做。希望各个企业在服务规范方面要积极的探索,为将来建立这种规范提供一些实际的经验。

架构基本上会有一个管理中心,有一个可信安全的计算环境,有一个可信的技术边界,通过可信的网络去连接到环境以外的地方。这个跟我们目前的云环境自然匹配,这就是一个课题,在云环境下有什么样的资源是我们自己掌握的。

从一个具体结构来讲,可以这样说,这只是一种建议。我们还是这样一个元素,一个是在安全管理中心支撑下,有可信的计算环境,有可信的区域网络,也有可信的技术边界。首先在一个独立的计算环境下,我们希望从启动开始就要验证是不是没有被人家改过,还存不存在一种风险。通过这种验证以后,认为这个软件没有被改过,它可以引导起来。然后会检查操作系统有没有被破坏,如果没有被破坏,这样逐渐的建立一个可信的计算环境,进行可信的传递,最后到服务这边。在工作的时候,应用服务应该首先确认自己的计算环境是不是我需要的那一个,因为在云上面你是远程的,你不知道有谁去访问这个东西,如果破坏的话,你要有方法验证破坏的发生。

 通过可信网络来保证安全环境里所有的设备都是具有身份的,我们要进行身份的确认,通过可信验证。然后是安全策略,安全策略包含一般安全可信的授权问题。要求一是必须满足等级保护的要求,国家面临的所有大的云的建设都会承担一些重要级任务。他们要去建设,必然通过这种检查。具体实施的时候,可信、可控、可管是根本,根本如果不能实现,我们所有设施的基本检查,虽然所有设备都是达标的,但整个系统可能会存在问题。基本系统要遵循T250的标准。

在整体这样做的时候,一个重要的问题就是服务和管理,这需要发展。原则是从国情出发,积极实践,逐步完善,这是一个逐渐的过程。谢谢大家!