時尚界的“凱撒大帝”卡爾•拉格斐曾經說過,“現代社會的每一次‘流行’,都蘊含著危機”。拉格斐針對流行消費的這句話,如果放到今天正在流行的“云計算”概念中,也許同樣是一句最恰當的注腳……。
“美夢”中的定時炸彈
幾年前的《紅鯡魚》(Red Herring)雜志中,曾有這樣一句話,讓包括筆者在內的很多人印象深刻:“未來,我們將不再上網,因為,我們注定會是24小時在線的人。”
時光流逝,當年的預言正一步步變為現實,“云計算”時代的到來,使得對于個人和企業而言,“24小時的在線”不再僅僅是信息的傳遞與獲取,更是各種關鍵應用的實現。就像IT評論家Keso對“云計算時代”所做的描述那樣:“將來我們買一臺上網設備的惟一理由就是因為它可以方便地上網,設備本身不需要安裝任何軟件,它要做的一切就是打開瀏覽器去訪問互聯網,讓Web終端來實現一切信息處理和存儲。”
一切來自網絡、一切基于網絡,一切運行于網絡。很顯然,這樣的環境對于電信運營商而言,有著前所未有的意義,IDC在不久前發表的觀點中明確談到,電信運營商是最有發展潛質的云服務提供商,而云計算也將成為電信業轉型的重要助推器。
由于云計算在實質上就是一種通過IT設備、系統或軟件來表現的電信增值服務。因此IDC預計,在不久的將來,云計算會成為電信運營商在增值業務方面最重要的增長點,這同樣也是運營商未來產業戰略布局中,最核心的至高點。
雖然云計算在電信運營商的轉型戰略之中的前景被廣泛認可。然而,IDC同時也談到,在這朵“充滿希望的云”中,還有著很多令人擔憂的因素,其中,安全就是最引人注目的一個,而這也是綁在運營商和眾多企業云計算“美夢”中的一顆定時炸彈。
“云”計算還是“沼澤”計算?
在不久前舉行的RSA 2010安全大會上,麻省理工學院教授、圖靈獎獲得者,著名的信息安全專家Ronald L. Rivest在談到云計算的安全問題時,半開玩笑地指出,“也許我們起名叫‘云計算’本身就是一個失誤,因為這名字很容易讓人感覺有趣和安全。但事實上,網絡中充滿了威脅和險惡,如果我們當初把它叫做‘沼澤計算(swamp computing)’或許更能夠讓人們對它有一個正確的認識。”
的確,就如同中國的成語“判若云泥”一樣,如果我們處理不好云計算中的安全問題,這個描繪中美好的“云計算”很可能轉變成真正的“泥計算”,并把我們的企業和業務拖入沼澤。
然而,保護云計算的安全問題并不簡單,思科首席執行官John Chambers認為,云計算將是一場網絡安全的噩夢(security nightmare),并且通過傳統的防護方式,并不能將人們從這場噩夢中喚醒。
云安全聯盟最新的調查研究也顯示,51%的企業CIO認為安全是云計算最大的顧慮。而且,這些安全問題并不是一種隱憂,它實際上已經在不斷的發生。例如對于運營商而言,要保證云計算的可用性,最重要的一點就是防護DDoS攻擊,而在云計算時代,要做到這一點就面臨著巨大的挑戰。那么安全廠商又該做些什么呢?
悄然“升級”的背后
就在不久前,思科自己的網站上發布一條關于Guard清洗中心升級解決方案的通告,通告中表示,思科的Guard清洗中心解決方案將面臨一次升級,由思科的合作伙伴Arbor網絡公司繼續提供新的、全面綜合的防DDOS攻擊的解決方案。據稱,“整體解決方案的關鍵因素包含了思科交換及路由平臺的netflow 技術,Arbor Peakflow SP及清洗系統 (TMS威脅管理系統)。思科特別指出,為了今后的發展,建議客戶遷移/升級到這個新的體系結構作為DDOS攻擊的保護。”
我們知道,在國內,思科的Guard清洗中心解決方案已經被成功的廣泛應用于大型互聯網運營商、主機托管中心以及大型企業客戶,有著很好的市場潛力,那么這樣一款產品,為什么最終會交由合作伙伴Arbor Networks來升級推出下一代產品呢?其實,其中最關鍵的因素就在于,云計算時代的到來,網絡應用環境的復雜性與攻擊變化的多樣性快速提升,使得安全變為一個更需要專注和專業的“技術工種”。
根據云安全聯盟的調查,在云計算服務模式下,互聯網應用層面的安全性變得越發突出。從著名的信息安全博客——賽道(www.sectao.net)我們了解到,在近期網絡中20個最高級別安全威脅中有16是應用層威脅,許多攻擊、信息泄密都是由于應用層出現了問題。在企業業務應用的部署方面,像微博、Facebook、 Sharepoint、wiki等應用的迅猛增長,都帶來了大量的風險,數據丟失、法令法規、運營成本、 生產力下降、業務持續性等問題。
具體到DDoS攻擊上面,我們回顧其解決方案的發展過程可以發現,在2000年時互聯網剛剛興起,用戶通常采用DDoS防火墻即可有效抵御攻擊。而在2005年,隨著Web 2.0的蓬勃發展,托管服務安全供應商(MSSP)成為了那一時代的最佳解決方案。如今進入了云計算時代,原有的方式顯然已經并不適用。
正是基于這種考慮,思科決定停止對Guard模塊繼續研發,轉而與長期合作的互聯網頂級流量分析者Arbor公司進行合作,通過集成路由與安全技術實現異常流量(主要是DDoS)“云”清洗系統,將Clean Pipes解決方案升級到了2.0版本。在Clean Pipes 2.0中,Arbor Peakflow SP 威脅管理系統(TMS)將成為Guard的升級方案。而新的方案,最終將通過SaaS(安全既服務)的方式,實現高效率的“云清洗”。
誰是最有希望的“拆彈部隊”?
那么,為什么思科選擇了在國內名不見經傳的Arbor Networks作為推薦給客戶的“下一代選擇”?在未來的云計算安全問題上,又有那些企業成為最有希望的“拆彈部隊”呢?
事實上,我們仔細研究一下Arbor Networks就可以發現,其獲得思科的青睞并不僅僅是因為與思科長期的合作以及投資戰略加股東關系,更重要的是,Arbor具備獨有的運營商級部署與ATLAS威脅可見性的經驗數據積累。
Arbor Networks并不是擠進“云計算餐桌”的遲到者,實際上,它一直是這個領域潛在的領導者,在國外市場上,其用戶包括全球70% 以上的運營商和大型企業。其基于運營商經驗長期積累的ATLAS威脅庫,使得Arbor Networks的口號“了解你的網絡(Know Your Network)”不是一句空談,也正是這種真正的掌控和了解,才能使得未來云計算應用中復雜多變的安全威脅得以剔除和解決。
窺一斑而知全豹,從思科Guard到Arbor Networks新解決方案的升級,我們可以看到未來解決云計算安全問題的端倪,那就是,云計算下的安全威脅,不能再僅僅圍繞各種“安全策略”,而是需要安全企業更多地植根于具體的網絡應用,并能通過技術手段實時了解和感應這些應用,才能真正化解云計算應用中多變的安全威脅。
剛剛獲得奧斯卡獎的電影《拆彈部隊》在片首有這樣一句話“……war is a drug”,是的,網絡發展所積聚的財富與價值,會讓越來越多的人在攻擊和破壞中“成癮”,信息安全的戰爭永遠不會停止,而每一家有責任心的安全企業最大的榮譽,就是行動起來,成為這個“云時代”合格的“拆彈部隊”。
鏈接(圖):第三代基于"云"計算的清洗中心主要四大特點:
一:智能檢測分析系統與清洗中心一體化,基于運營商級的全網監控系統統一控制流量的流向并決定清洗行動。提高了預見性與準確性。
二:"云"清洗系統針對應用層的攻擊防護具有特別設計包括(DNS, HTTP, SIP 等),并率先支持下一代IPv6的網絡環境。
三:"云"清洗系統具有異常流量的溯源能力并結合ATLAS威脅數據庫與指紋機制實時防范最新攻擊,包括零日Zero-day攻擊;
四:"云"清洗系統針對被保護對象的自服務門戶功能為運營商大范圍提供異常流量清洗服務提供了基礎,改善了購買DDoS服務的用戶體驗。
![]() |
圖1 |