“云安全(Cloud Security)”技术是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
先进特点
云安全是一群探针的结果上报、专业处理结果的分享,云安全好处是理论上可以把病毒的传播范围控制在一定区域内!和探针的数量、存活、及病毒处理的速度有关。
传统的上报是人为的手动的,而云安全是系统内自动快捷几秒钟内就完成的,这一种上报是最及时的,人工上报就做不到这一点。理想状态下,从一个盗号木马从攻击某台电脑,到整个“云安全”(Cloud Security)网络对其拥有免疫、查杀能力,仅需几秒的时间
思想来源
云安全技术是P2P技术、
网格技术、
云计算技术等
分布式计算技术混合发展、自然演化的结果。
值得一提的是,
云安全的核心思想,与
刘鹏早在2003年就提出的反
垃圾邮件网格非常接近。刘鹏当时认为,垃圾邮件泛滥而无法用技术手段很好地自动过滤,是因为所依赖的人工智能方法不是成熟技术。
垃圾邮件的最大的特征是:它会将相同的内容发送给数以百万计的接收者。为此,可以建立一个分布式统计和学习平台,以大规模用户的
协同计算来过滤垃圾邮件:首先,用户安装客户端,为收到的每一封邮件计算出一个唯一的“
指纹”,通过比对“指纹”可以统计相似邮件的副本数,当副本数达到一定数量,就可以判定邮件是垃圾邮件;其次,由于互联网上多台计算机比一台计算机掌握的信息更多,因而可以采用分布式
贝叶斯学习算法,在成百上千的客户端机器上实现协同学习过程,收集、分析并共享最新的信息。
反
垃圾邮件网格体现了真正的网格思想,每个加入系统的用户既是服务的对象,也是完成分布式统计功能的一个信息节点,随着系统规模的不断扩大,系统过滤垃圾邮件的准确性也会随之提高。用大规模统计方法来过滤垃圾邮件的做法比用人工智能的方法更成熟,不容易出现误判假阳性的情况,实用性很强。
反垃圾邮件网格就是利用分布互联网里的千百万台主机的协同工作,来构建一道拦截垃圾邮件的“天网”。
反垃圾邮件网格思想提出后,被IEEE Cluster 2003国际会议选为杰出网格项目在香港作了现场演示,在2004年
网格计算国际研讨会上作了专题报告和现场演示,引起较为广泛的关注,受到了中国最大邮件服务提供商网易公司创办人
丁磊等的重视。既然
垃圾邮件可以如此处理,病毒、木马等亦然,这与
云安全的思想就相去不远了。
系统难点
要想建立“云安全”系统,并使之正常运行,需要解决四大问题:
第一、 需要海量的客户端(云安全探针)。只有拥有海量的客户端,才能对互联网上出现的恶意程序,危险网站有最灵敏的感知能力。一般而言安全厂商的产品使用率越高,反映应当越快,最终应当能够实现无论哪个网民中毒、访问
挂马网页,都能在第一时间做出反应。
第二、 需要专业的反病毒技术和经验。发现的恶意程序被
探测到,应当在尽量短的时间内被分析,这需要安全厂商具有过硬的技术,否则容易造成样本的堆积,使
云安全的快速探测的结果大打折扣。
第三、 需要大量的资金和技术投入。“云安全”系统在服务器、带宽等硬件需要极大的投入,同时要求安全厂商应当具有相应的顶尖技术团队、持续的研究花费。
第四、 可以是开放的系统,允许合作伙伴的加入。“云安全”可以是个开放性的系统,其“
探针”应当与其他软件相兼容,即使用户使用不同的杀毒软件,也可以享受“云安全”系统带来的成果。
云安全应对
漏洞扫描与渗透测试
漏洞扫描和渗透测试是所有PaaS和基础设施即服务(
IaaS)云安全技术都必须执行的。无论他们是在云中托管应用程序还是运行服务器和存储基础设施,用户都必须对暴露在互联网中的系统的安全状态进行评估。
对于在
PaaS和IaaS环境中测试API和应用程序的集成来说,与云供应商协作的企业应重点关注处于传输状态下的数据,以及通过绕过身份认证或注入式攻击等方式对应用程序和数据的潜在非法访问。
云安全技术配置管理
云安全技术中最重要的要素就是配置管理,其中包括了补丁管理。
在SaaS环境中,配置管理是完全由云供应商负责处理的。如有可能,客户可通过鉴证业务准则公告(SSAE)第16号、服务组织控制(
SOC)报告或
ISO认证以及
云安全联盟的安全、信任和保证注册证明向供应商提出一些补丁管理和配置管理实践的要求。
在PaaS环境中,平台的开发与维护都是由供应商来负责的。应用程序配置与开发的库和工具可能是由企业用户管理的,因此安全配置标准仍然还是属于内部定义范畴。然后,这些标准都应在PaaS环境中被应用和监控。
云安全技术的安全控制
云供应商负责所有基础设施的运行,其中包括了虚拟化技术、网络以及存储等各个方面。它还负责其相关代码,包括了管理界面和API,所以对它的开发实践和
系统开发生命周期的评价也是非常必要的。只有IaaS客户会对整个系统规格拥有真正的控制权;如果虚拟机是基于一个供应商提供的模板而部署的,那么在实际使用前也应对这些虚拟机进行仔细研究并确保其安全性。
技术关键
云安全技术关键在于首先理解客户及其需求,并设计针对这些需求的解决方案,例如全磁盘或基于文件的加密、客户密钥管理、入侵检测/防御、安全信息和事件管理(SIEM)、日志分析、双重模式身份验证、物理隔离等等。
云安全技术的安全标准包括支付卡行业数据安全标准(PCI DSS),一个供企业保护信用卡信息的专用信息安全标准。2002年的Sarbanes-Oxley法案(SOX),它要求对支持企业披露准确性和可靠性的数据进行保护和存储。1996年的健康保险流通与责任法案(HIPAA),它规定了受保护健康电子信息的国家级安全性标准。
技术分类
云安全从性质上可以分为两大类,一类是用户的
数据隐私保护,另一类是针对传统互联网和硬件设备的安全。
其次,采用第三方平台带来的安全风险问题。提供云服务的厂商不是全部拥有自己的数据中心,一旦租用第三方的云平台,那么这里面就存在服务提供商管理人员权限的问题。