伴隨著組織的業務不斷增長,云安全問題日漸凸顯,自身系統被入侵者攻破,用戶數據被盜時有發生。當用戶使用云服務時,首先應該考慮數據安全,這正是一些信息比較敏感的客戶不愿使用云服務的原因之一。
“無論是私有云、公有云,在為應用系統帶來可擴展、高可用、訪問便捷的同時,確保數據訪問受控、云上業務不被惡意攻擊、云上系統不被入侵等都是必須解決的根本性問題。”國聯易安總經理門嘉平博士表示。
“安全評估”要做好
2019年7月,工信部等四部委聯合發布了《云計算服務安全評估辦法》,對黨政機關要使用經過安全評估的云服務提出了正式要求。2021年出臺《網絡數據安全管理條例征求意見》,也規定了國家機關等政務運營者采購云服務要通過評估,把制度的層級上升到行政法規層面。
云計算服務安全評估專家組副組長、國家信息技術安全研究中心原副主任李京春表示,“十四五”期間,在培育壯大人工智能、大數據、區塊鏈、云計算、網絡安全等新興數字產業的過程,要完善國家電子政務網絡,集約建設政務云平臺和數據中心體系,推進政務信息系統云遷移。
中國網絡安全審查技術與認證中心魏昊主任也表示,未來的云服務安全評估工作將從以下幾個方面開展:第一,拓展評估類型,擴大覆蓋面。尤其是希望云平臺提供的服務模式,逐步地以基礎設施方式為主,能夠過渡到更多的提供PaaS(平臺即服務)、或者SaaS(軟件即服務)的評估;第二,要考慮落實《數據安全法》、《個人信息保護法》等法規政策的要求,在云評估當中加強數據安全,包括個人信息保護的分擔;第三,要促進相關標準的跟進,同時強化供應鏈安全的評估,降低斷供以及開源軟件漏洞、過度依賴第三方運維等風險。
“云計算過程相對復雜,所以選擇云防護之前,首先應該評估軟件應用程序和硬件陣列的安全漏洞,尤其要檢查云應用程序的常見漏洞,要確保所有的安全防護措施到位。”國聯易安總經理門嘉平博士表示。
“彈性計劃”要制定
隨著組織采用云技術,彈性需求也應該提上日程。沒有一種技術是完美的,云計算亦如此。所以,必須確保業務負載,如果想在一場物理災難或網絡攻擊事件中迅速恢復尤其重要。組織必須確保業務負載可以隨時恢復,與業務連續性的影響微乎其微。
云負載均衡是對多臺云服務器進行流量分發的負載均衡服務。云負載均衡是針對云彈性計算平臺而設計,通過流量分發擴展應用系統對外的服務能力,從而消除單點故障,提升應用的穩定性。隨著流量的增加,云負載均衡可以綜合計算分析服務器的服務能力,將流量分散到不同的服務器上。一臺機器出現故障不會引起服務中斷,同時后端池中機器具有相同的配置,任何一臺機器故障也不會引起服務的中斷。當訪問轉發到后端服務器時,云負載均衡會記錄會話與服務的對應關系,因此當再一次請求產生時,會將請求轉發到相同的服務處理,從而提高處理效率。
負載均衡和云進行深度融合后,更加自動化和智能化。相比硬件負載均衡產品,云負載均衡支持自動化部署,無需人工干預,可以一鍵生成負載均衡虛擬機,實現負載均衡按需生成、自動配置,并自動做一些業務編排。
“雖然負載均衡本身有諸多的安全能力,包括應用層抗攻擊、郵件安全,DNS防護等,但是云負載均衡的安全更偏向于業務和應用安全。所以,組織也可以考慮一種混合安全模式:將云中提供的服務與預置的服務混合起來。這樣有助于減輕數據保護,隱私保護的壓力。”國聯易安總經理門嘉平博士表示。
“可視化”必須有
在零信任世界里,每個人都是局外人,沒有適當的可視化就不能被信任。云計算固然為業務運營和服務帶來了敏捷度和可擴展性,但也讓我們失去了一些對云端數字資產的控制。因為流量遍歷于本地與云端之間,云端數字資產暴露的機會也相應增加。如果無法實現對數字基礎設施的規劃,包括運行其全部應用,確保云環境安全將成為一句空話。
如果沒有流量可視化,安全威脅就無法被發現,服務等級協議會因為網絡性能和故障可視化的缺失而受到波及,給業務帶來負面影響,導致客戶流失和信任缺失。所以,云上流量的可視化展現是非常必要的。雖然云負載均衡可以在一定程度上實現流量的可視化,但可視化的最終目標是要幫助客戶查看云上業務的分布、來源和響應時間等性能指標,這樣才能幫助客維護和管理云上業務。
可視化如何才能做到呢?一是與公有云廠商合作,復制流量。但并不是所有公有云廠商都能提供可視化服務,都能將云流量隨時發送到指定工具上;二是與工具廠商合作,實現對公有云工作負載的可視化。
“目前,業界比較流行的做法是采用‘網絡流量安全分析系統’實現云平臺流量分析。實現‘可見”——從應用維度識別云上流量,獲取流量特性,建立一張清晰的流量圖;‘可識’——識別專線鏈路的流量組成,感知云上業務并發量,讓虛機的彈性擴容有據可依;‘可溯’——回溯歷史流量數據,掌握流量變化趨勢,將業務的運營一一展現,從而為業務優化提供決策依據。”國聯易安總經理門嘉平博士表示。
結束語
自從2006年谷歌的CEO埃里克·施密特正式提出“CloudComputing”概念以來,云計算已經經歷了十五年的發展。虛擬化技術、公有云、私有云、云原生等概念也層出不窮。
毋庸置疑,業務上云可以助力組織更快速的實現數字化轉型,而且更彈性、更高效的進行計算資源的整合。隨著云計算業務的不斷深入,以及國家、地方政府支持政策利好出臺,我國各地的云計算數據中心正在如雨后春筍般的迅速增長。
“為了適應云環境,硬件產品向軟件產品轉型、硬件交付向軟件交付轉型已經成為業務發展的技術趨勢。云安全不再只是一個靜態的時間點,而是持續的動態演變,所以組織做好云技術管理和定期的網絡安全審查也非常必要。”國聯易安總經理門嘉平博士表示。
門嘉平國聯易安總經理,清華大學電子信息專業博士、北京交通大學信息安全專業博士。第一作者發表中英論文10余篇,參與國家標準起草與修訂工作3項;承擔國家級重大專項、重大工程課題研發成果8項;獲得發明專利、著作權近300項。多個國家部級單位特聘信息安全專家、多個國家部級執法單位特聘信息安全專家,清華大學計算機系網絡安全智能研究中心副主任、清華大學無錫應用技術研究院數字技術產業研究中心主任。民建中央信息和網絡創新專委會委員、民建中央企業家精神專委會委員,中關村軟聯安全專業委會主任,中關村軟件和信息服務產業創新聯盟副理事長,中國計算機學會安全專業委員,海南國際仲裁院互聯網服務中心專家顧問。
