時(shí)尚界的“凱撒大帝”卡爾•拉格斐曾經(jīng)說過,“現(xiàn)代社會(huì)的每一次‘流行’,都蘊(yùn)含著危機(jī)”。拉格斐針對(duì)流行消費(fèi)的這句話,如果放到今天正在流行的“云計(jì)算”概念中,也許同樣是一句最恰當(dāng)?shù)淖⒛_……。
“美夢(mèng)”中的定時(shí)炸彈
幾年前的《紅鯡魚》(Red Herring)雜志中,曾有這樣一句話,讓包括筆者在內(nèi)的很多人印象深刻:“未來,我們將不再上網(wǎng),因?yàn)椋覀冏⒍〞?huì)是24小時(shí)在線的人。”
時(shí)光流逝,當(dāng)年的預(yù)言正一步步變?yōu)楝F(xiàn)實(shí),“云計(jì)算”時(shí)代的到來,使得對(duì)于個(gè)人和企業(yè)而言,“24小時(shí)的在線”不再僅僅是信息的傳遞與獲取,更是各種關(guān)鍵應(yīng)用的實(shí)現(xiàn)。就像IT評(píng)論家Keso對(duì)“云計(jì)算時(shí)代”所做的描述那樣:“將來我們買一臺(tái)上網(wǎng)設(shè)備的惟一理由就是因?yàn)樗梢苑奖愕厣暇W(wǎng),設(shè)備本身不需要安裝任何軟件,它要做的一切就是打開瀏覽器去訪問互聯(lián)網(wǎng),讓W(xué)eb終端來實(shí)現(xiàn)一切信息處理和存儲(chǔ)。”
一切來自網(wǎng)絡(luò)、一切基于網(wǎng)絡(luò),一切運(yùn)行于網(wǎng)絡(luò)。很顯然,這樣的環(huán)境對(duì)于電信運(yùn)營(yíng)商而言,有著前所未有的意義,IDC在不久前發(fā)表的觀點(diǎn)中明確談到,電信運(yùn)營(yíng)商是最有發(fā)展?jié)撡|(zhì)的云服務(wù)提供商,而云計(jì)算也將成為電信業(yè)轉(zhuǎn)型的重要助推器。
由于云計(jì)算在實(shí)質(zhì)上就是一種通過IT設(shè)備、系統(tǒng)或軟件來表現(xiàn)的電信增值服務(wù)。因此IDC預(yù)計(jì),在不久的將來,云計(jì)算會(huì)成為電信運(yùn)營(yíng)商在增值業(yè)務(wù)方面最重要的增長(zhǎng)點(diǎn),這同樣也是運(yùn)營(yíng)商未來產(chǎn)業(yè)戰(zhàn)略布局中,最核心的至高點(diǎn)。
雖然云計(jì)算在電信運(yùn)營(yíng)商的轉(zhuǎn)型戰(zhàn)略之中的前景被廣泛認(rèn)可。然而,IDC同時(shí)也談到,在這朵“充滿希望的云”中,還有著很多令人擔(dān)憂的因素,其中,安全就是最引人注目的一個(gè),而這也是綁在運(yùn)營(yíng)商和眾多企業(yè)云計(jì)算“美夢(mèng)”中的一顆定時(shí)炸彈。
“云”計(jì)算還是“沼澤”計(jì)算?
在不久前舉行的RSA 2010安全大會(huì)上,麻省理工學(xué)院教授、圖靈獎(jiǎng)獲得者,著名的信息安全專家Ronald L. Rivest在談到云計(jì)算的安全問題時(shí),半開玩笑地指出,“也許我們起名叫‘云計(jì)算’本身就是一個(gè)失誤,因?yàn)檫@名字很容易讓人感覺有趣和安全。但事實(shí)上,網(wǎng)絡(luò)中充滿了威脅和險(xiǎn)惡,如果我們當(dāng)初把它叫做‘沼澤計(jì)算(swamp computing)’或許更能夠讓人們對(duì)它有一個(gè)正確的認(rèn)識(shí)。”
的確,就如同中國的成語“判若云泥”一樣,如果我們處理不好云計(jì)算中的安全問題,這個(gè)描繪中美好的“云計(jì)算”很可能轉(zhuǎn)變成真正的“泥計(jì)算”,并把我們的企業(yè)和業(yè)務(wù)拖入沼澤。
然而,保護(hù)云計(jì)算的安全問題并不簡(jiǎn)單,思科首席執(zhí)行官John Chambers認(rèn)為,云計(jì)算將是一場(chǎng)網(wǎng)絡(luò)安全的噩夢(mèng)(security nightmare),并且通過傳統(tǒng)的防護(hù)方式,并不能將人們從這場(chǎng)噩夢(mèng)中喚醒。
云安全聯(lián)盟最新的調(diào)查研究也顯示,51%的企業(yè)CIO認(rèn)為安全是云計(jì)算最大的顧慮。而且,這些安全問題并不是一種隱憂,它實(shí)際上已經(jīng)在不斷的發(fā)生。例如對(duì)于運(yùn)營(yíng)商而言,要保證云計(jì)算的可用性,最重要的一點(diǎn)就是防護(hù)DDoS攻擊,而在云計(jì)算時(shí)代,要做到這一點(diǎn)就面臨著巨大的挑戰(zhàn)。那么安全廠商又該做些什么呢?
悄然“升級(jí)”的背后
就在不久前,思科自己的網(wǎng)站上發(fā)布一條關(guān)于Guard清洗中心升級(jí)解決方案的通告,通告中表示,思科的Guard清洗中心解決方案將面臨一次升級(jí),由思科的合作伙伴Arbor網(wǎng)絡(luò)公司繼續(xù)提供新的、全面綜合的防DDOS攻擊的解決方案。據(jù)稱,“整體解決方案的關(guān)鍵因素包含了思科交換及路由平臺(tái)的netflow 技術(shù),Arbor Peakflow SP及清洗系統(tǒng) (TMS威脅管理系統(tǒng))。思科特別指出,為了今后的發(fā)展,建議客戶遷移/升級(jí)到這個(gè)新的體系結(jié)構(gòu)作為DDOS攻擊的保護(hù)。”
我們知道,在國內(nèi),思科的Guard清洗中心解決方案已經(jīng)被成功的廣泛應(yīng)用于大型互聯(lián)網(wǎng)運(yùn)營(yíng)商、主機(jī)托管中心以及大型企業(yè)客戶,有著很好的市場(chǎng)潛力,那么這樣一款產(chǎn)品,為什么最終會(huì)交由合作伙伴Arbor Networks來升級(jí)推出下一代產(chǎn)品呢?其實(shí),其中最關(guān)鍵的因素就在于,云計(jì)算時(shí)代的到來,網(wǎng)絡(luò)應(yīng)用環(huán)境的復(fù)雜性與攻擊變化的多樣性快速提升,使得安全變?yōu)橐粋€(gè)更需要專注和專業(yè)的“技術(shù)工種”。
根據(jù)云安全聯(lián)盟的調(diào)查,在云計(jì)算服務(wù)模式下,互聯(lián)網(wǎng)應(yīng)用層面的安全性變得越發(fā)突出。從著名的信息安全博客——賽道(www.sectao.net)我們了解到,在近期網(wǎng)絡(luò)中20個(gè)最高級(jí)別安全威脅中有16是應(yīng)用層威脅,許多攻擊、信息泄密都是由于應(yīng)用層出現(xiàn)了問題。在企業(yè)業(yè)務(wù)應(yīng)用的部署方面,像微博、Facebook、 Sharepoint、wiki等應(yīng)用的迅猛增長(zhǎng),都帶來了大量的風(fēng)險(xiǎn),數(shù)據(jù)丟失、法令法規(guī)、運(yùn)營(yíng)成本、 生產(chǎn)力下降、業(yè)務(wù)持續(xù)性等問題。
具體到DDoS攻擊上面,我們回顧其解決方案的發(fā)展過程可以發(fā)現(xiàn),在2000年時(shí)互聯(lián)網(wǎng)剛剛興起,用戶通常采用DDoS防火墻即可有效抵御攻擊。而在2005年,隨著Web 2.0的蓬勃發(fā)展,托管服務(wù)安全供應(yīng)商(MSSP)成為了那一時(shí)代的最佳解決方案。如今進(jìn)入了云計(jì)算時(shí)代,原有的方式顯然已經(jīng)并不適用。
正是基于這種考慮,思科決定停止對(duì)Guard模塊繼續(xù)研發(fā),轉(zhuǎn)而與長(zhǎng)期合作的互聯(lián)網(wǎng)頂級(jí)流量分析者Arbor公司進(jìn)行合作,通過集成路由與安全技術(shù)實(shí)現(xiàn)異常流量(主要是DDoS)“云”清洗系統(tǒng),將Clean Pipes解決方案升級(jí)到了2.0版本。在Clean Pipes 2.0中,Arbor Peakflow SP 威脅管理系統(tǒng)(TMS)將成為Guard的升級(jí)方案。而新的方案,最終將通過SaaS(安全既服務(wù))的方式,實(shí)現(xiàn)高效率的“云清洗”。
誰是最有希望的“拆彈部隊(duì)”?
那么,為什么思科選擇了在國內(nèi)名不見經(jīng)傳的Arbor Networks作為推薦給客戶的“下一代選擇”?在未來的云計(jì)算安全問題上,又有那些企業(yè)成為最有希望的“拆彈部隊(duì)”呢?
事實(shí)上,我們仔細(xì)研究一下Arbor Networks就可以發(fā)現(xiàn),其獲得思科的青睞并不僅僅是因?yàn)榕c思科長(zhǎng)期的合作以及投資戰(zhàn)略加股東關(guān)系,更重要的是,Arbor具備獨(dú)有的運(yùn)營(yíng)商級(jí)部署與ATLAS威脅可見性的經(jīng)驗(yàn)數(shù)據(jù)積累。
Arbor Networks并不是擠進(jìn)“云計(jì)算餐桌”的遲到者,實(shí)際上,它一直是這個(gè)領(lǐng)域潛在的領(lǐng)導(dǎo)者,在國外市場(chǎng)上,其用戶包括全球70% 以上的運(yùn)營(yíng)商和大型企業(yè)。其基于運(yùn)營(yíng)商經(jīng)驗(yàn)長(zhǎng)期積累的ATLAS威脅庫,使得Arbor Networks的口號(hào)“了解你的網(wǎng)絡(luò)(Know Your Network)”不是一句空談,也正是這種真正的掌控和了解,才能使得未來云計(jì)算應(yīng)用中復(fù)雜多變的安全威脅得以剔除和解決。
窺一斑而知全豹,從思科Guard到Arbor Networks新解決方案的升級(jí),我們可以看到未來解決云計(jì)算安全問題的端倪,那就是,云計(jì)算下的安全威脅,不能再僅僅圍繞各種“安全策略”,而是需要安全企業(yè)更多地植根于具體的網(wǎng)絡(luò)應(yīng)用,并能通過技術(shù)手段實(shí)時(shí)了解和感應(yīng)這些應(yīng)用,才能真正化解云計(jì)算應(yīng)用中多變的安全威脅。
剛剛獲得奧斯卡獎(jiǎng)的電影《拆彈部隊(duì)》在片首有這樣一句話“……war is a drug”,是的,網(wǎng)絡(luò)發(fā)展所積聚的財(cái)富與價(jià)值,會(huì)讓越來越多的人在攻擊和破壞中“成癮”,信息安全的戰(zhàn)爭(zhēng)永遠(yuǎn)不會(huì)停止,而每一家有責(zé)任心的安全企業(yè)最大的榮譽(yù),就是行動(dòng)起來,成為這個(gè)“云時(shí)代”合格的“拆彈部隊(duì)”。
鏈接(圖):第三代基于"云"計(jì)算的清洗中心主要四大特點(diǎn):
一:智能檢測(cè)分析系統(tǒng)與清洗中心一體化,基于運(yùn)營(yíng)商級(jí)的全網(wǎng)監(jiān)控系統(tǒng)統(tǒng)一控制流量的流向并決定清洗行動(dòng)。提高了預(yù)見性與準(zhǔn)確性。
二:"云"清洗系統(tǒng)針對(duì)應(yīng)用層的攻擊防護(hù)具有特別設(shè)計(jì)包括(DNS, HTTP, SIP 等),并率先支持下一代IPv6的網(wǎng)絡(luò)環(huán)境。
三:"云"清洗系統(tǒng)具有異常流量的溯源能力并結(jié)合ATLAS威脅數(shù)據(jù)庫與指紋機(jī)制實(shí)時(shí)防范最新攻擊,包括零日Zero-day攻擊;
四:"云"清洗系統(tǒng)針對(duì)被保護(hù)對(duì)象的自服務(wù)門戶功能為運(yùn)營(yíng)商大范圍提供異常流量清洗服務(wù)提供了基礎(chǔ),改善了購買DDoS服務(wù)的用戶體驗(yàn)。
 |
| 圖1 |
