11月28日,中国云计算产业促进大会暨2014中国可控可信计算应用及产业会议在南京召开。本次大会由中国计算机学会应用专业委员会主办,系统研讨了云计算时代的信息安全以及中国可控信计算的产业情况、核心技术与应用场景等问题。浪潮集团信息安全事业部副总经理蔡一兵博士在大会上指出提升云主机的安全防护是全面提升云安全的有效途径,受到业界广泛关注。
伴随着云计算应用的不断深入,云数据中心发展迅猛,已经成为企业海量关键业务数据的承载体。云数据中心安全的重要性日益凸显,加强对云计算以及信息的管理应引起高度重视。在系统安全方面,以提高防御、应急处置能力为主的传统安全管理已经不能适应新计算、新网络、新应用和新数据为新特征的信息安全产业发展的需要。蔡一兵表示:“传统的‘封堵查杀’等‘被动应对’的防护模式已经不能满足云计算的需求,形成‘主动防御’的安全模式非常必要。在云安全的发展上,浪潮认为以下三点非常重要:从解决途径上来看,以可信计算为基础,构建完整的信任链可以切实提高云计算的安全防护能力;从国家安全的角度来看,中国必须拥有自主可控的云安全技术;从具体的防护内容来看,云主机安全是云数据中心安全的核心,必须予以足够重视。”
基于可信计算实现主动防御
传统数据中心的防护大多采用‘封堵查杀’等‘被动应对’的防护模式,但是这种模式在云数据中心中已经无法满足安全需求。从外部来看,黑客组织长期针对云主机进行有组织、有计划的高级持续性威胁(APT),以期获得其中海量的企业机密信息和情报谋取利益。从内部来看,云计算具有开放性和复杂性的特点,虚拟化等技术让云数据中心一直处于动态变化当中,遭遇安全问题的可能性超出传统的数据中心,针对云主机的“Guest OS镜像篡改”、“主机租户攻击”和“虚拟机篡改”为目的的恶意威胁数量越来越多。另外,内部人员的风险同样不可忽视,云主机上的信息泄漏随时都有可能发生。
蔡一兵表示,可信计算可以形成‘主动防御’能力,满足云数据中心安全需求。所谓可信计算是指在计算的同时进行安全防护,计算全程可测可控,不被干扰。具有身份识别、状态度量、保密存储等功能。其核心思想是通过在硬件上建立计算资源节点和可信保护节点并行结构,从平台加电开始,到应用程序的执行,构建完整的信任链。
浪潮云主机安全产品整体解决方案等一批基于可信计算的产品与解决方案的推出,切实推动了云数据中心安全防护向主动防御转型。
云安全技术必须自主可控
云安全的风险从来不只是来自于技术本身,还包括安全的运行环境。特别是斯诺登事件出现之后,安全风险被充分暴露,技术的自主可控需求进一步提高。云数据中心的关键系统和设备上缺乏自主控制权,缺少可信、可控的安全运行环境的现状必须得到根本性改变。
云计算时代,缺少自主、可控的安全方案,更容易遭受‘心脏出血’漏洞、系统瘫痪乃至针对性攻击等安全威胁。可以想象一旦承载着有关国计民生重要信息的系统被外部势力恶意攻击,甚至成为网络战的攻击目标,其后果将不堪设想。
也正是基于这样的考虑,国家给予云计算重要政策支持。国务院总理李克强11月15日主持召开国务院常务会议,部署确定促进云计算创新发展措施,培育壮大新业态新产业。国家再次明确支持云计算,政府的支持政策将会加速中国云计算市场的发展,促进自主可控安全环境的形成。
从云主机入手构建全面云安全
云主机是云数据中心的核心,由服务器、虚拟化、操作系统构成,承载着重要数据和应用处理,其安全与否是云数据中心安全策略是否有效的关键。正因为如此,云主机的安全就成为了提升整体云安全的重点。浪潮云主机安全产品解决方案包括可信服务器、虚拟机安全套件、SSR操作系统安全增强系统、安全容器等几部分,以云数据中心物理主机安全、虚拟主机安全、软件定义的计算和存储服务安全为重点,把可信计算体系与主动防御体系进行了有效的结合,以可信服务器为根基,构建从底层硬件到上层业务系统的完整信任链。
针对不同类型的用户,云主机安全产品整体解决方案可以分别满足不同需求。具体说来,对于云主机用户,该方案通过感知技术自动甄别环境的变化,防止针对服务器硬件、虚拟化软件、Guest OS及其他基础设施的恶意代码植入,进而提升用户自我防御能力;对于云数据中心运营者,安全可信的计算环境将会吸引更多租户加入,并在纵横交错的可信链条上提升云服务的质量和可靠性;对于特定行业中的高安全等级服务器,该方案能为关键的业务程序提供安全可信的计算环境,防止因服务器基础软硬件被植入高级恶意代码,从而避免设备被控、数据被盗的情况发生。