伴随着组织的业务不断增长,云安全问题日渐凸显,自身系统被入侵者攻破,用户数据被盗时有发生。当用户使用云服务时,首先应该考虑数据安全,这正是一些信息比较敏感的客户不愿使用云服务的原因之一。
“无论是私有云、公有云,在为应用系统带来可扩展、高可用、访问便捷的同时,确保数据访问受控、云上业务不被恶意攻击、云上系统不被入侵等都是必须解决的根本性问题。”国联易安总经理门嘉平博士表示。
“安全评估”要做好
2019年7月,工信部等四部委联合发布了《云计算服务安全评估办法》,对党政机关要使用经过安全评估的云服务提出了正式要求。2021年出台《网络数据安全管理条例征求意见》,也规定了国家机关等政务运营者采购云服务要通过评估,把制度的层级上升到行政法规层面。
云计算服务安全评估专家组副组长、国家信息技术安全研究中心原副主任李京春表示,“十四五”期间,在培育壮大人工智能、大数据、区块链、云计算、网络安全等新兴数字产业的过程,要完善国家电子政务网络,集约建设政务云平台和数据中心体系,推进政务信息系统云迁移。
中国网络安全审查技术与认证中心魏昊主任也表示,未来的云服务安全评估工作将从以下几个方面开展:第一,拓展评估类型,扩大覆盖面。尤其是希望云平台提供的服务模式,逐步地以基础设施方式为主,能够过渡到更多的提供PaaS(平台即服务)、或者SaaS(软件即服务)的评估;第二,要考虑落实《数据安全法》、《个人信息保护法》等法规政策的要求,在云评估当中加强数据安全,包括个人信息保护的分担;第三,要促进相关标准的跟进,同时强化供应链安全的评估,降低断供以及开源软件漏洞、过度依赖第三方运维等风险。
“云计算过程相对复杂,所以选择云防护之前,首先应该评估软件应用程序和硬件阵列的安全漏洞,尤其要检查云应用程序的常见漏洞,要确保所有的安全防护措施到位。”国联易安总经理门嘉平博士表示。
“弹性计划”要制定
随着组织采用云技术,弹性需求也应该提上日程。没有一种技术是完美的,云计算亦如此。所以,必须确保业务负载,如果想在一场物理灾难或网络攻击事件中迅速恢复尤其重要。组织必须确保业务负载可以随时恢复,与业务连续性的影响微乎其微。
云负载均衡是对多台云服务器进行流量分发的负载均衡服务。云负载均衡是针对云弹性计算平台而设计,通过流量分发扩展应用系统对外的服务能力,从而消除单点故障,提升应用的稳定性。随着流量的增加,云负载均衡可以综合计算分析服务器的服务能力,将流量分散到不同的服务器上。一台机器出现故障不会引起服务中断,同时后端池中机器具有相同的配置,任何一台机器故障也不会引起服务的中断。当访问转发到后端服务器时,云负载均衡会记录会话与服务的对应关系,因此当再一次请求产生时,会将请求转发到相同的服务处理,从而提高处理效率。
负载均衡和云进行深度融合后,更加自动化和智能化。相比硬件负载均衡产品,云负载均衡支持自动化部署,无需人工干预,可以一键生成负载均衡虚拟机,实现负载均衡按需生成、自动配置,并自动做一些业务编排。
“虽然负载均衡本身有诸多的安全能力,包括应用层抗攻击、邮件安全,DNS防护等,但是云负载均衡的安全更偏向于业务和应用安全。所以,组织也可以考虑一种混合安全模式:将云中提供的服务与预置的服务混合起来。这样有助于减轻数据保护,隐私保护的压力。”国联易安总经理门嘉平博士表示。
“可视化”必须有
在零信任世界里,每个人都是局外人,没有适当的可视化就不能被信任。云计算固然为业务运营和服务带来了敏捷度和可扩展性,但也让我们失去了一些对云端数字资产的控制。因为流量遍历于本地与云端之间,云端数字资产暴露的机会也相应增加。如果无法实现对数字基础设施的规划,包括运行其全部应用,确保云环境安全将成为一句空话。
如果没有流量可视化,安全威胁就无法被发现,服务等级协议会因为网络性能和故障可视化的缺失而受到波及,给业务带来负面影响,导致客户流失和信任缺失。所以,云上流量的可视化展现是非常必要的。虽然云负载均衡可以在一定程度上实现流量的可视化,但可视化的最终目标是要帮助客户查看云上业务的分布、来源和响应时间等性能指标,这样才能帮助客维护和管理云上业务。
可视化如何才能做到呢?一是与公有云厂商合作,复制流量。但并不是所有公有云厂商都能提供可视化服务,都能将云流量随时发送到指定工具上;二是与工具厂商合作,实现对公有云工作负载的可视化。
“目前,业界比较流行的做法是采用‘网络流量安全分析系统’实现云平台流量分析。实现‘可见”——从应用维度识别云上流量,获取流量特性,建立一张清晰的流量图;‘可识’——识别专线链路的流量组成,感知云上业务并发量,让虚机的弹性扩容有据可依;‘可溯’——回溯历史流量数据,掌握流量变化趋势,将业务的运营一一展现,从而为业务优化提供决策依据。”国联易安总经理门嘉平博士表示。
结束语
自从2006年谷歌的CEO埃里克·施密特正式提出“CloudComputing”概念以来,云计算已经经历了十五年的发展。虚拟化技术、公有云、私有云、云原生等概念也层出不穷。
毋庸置疑,业务上云可以助力组织更快速的实现数字化转型,而且更弹性、更高效的进行计算资源的整合。随着云计算业务的不断深入,以及国家、地方政府支持政策利好出台,我国各地的云计算数据中心正在如雨后春笋般的迅速增长。
“为了适应云环境,硬件产品向软件产品转型、硬件交付向软件交付转型已经成为业务发展的技术趋势。云安全不再只是一个静态的时间点,而是持续的动态演变,所以组织做好云技术管理和定期的网络安全审查也非常必要。”国联易安总经理门嘉平博士表示。
门嘉平国联易安总经理,清华大学电子信息专业博士、北京交通大学信息安全专业博士。第一作者发表中英论文10余篇,参与国家标准起草与修订工作3项;承担国家级重大专项、重大工程课题研发成果8项;获得发明专利、著作权近300项。多个国家部级单位特聘信息安全专家、多个国家部级执法单位特聘信息安全专家,清华大学计算机系网络安全智能研究中心副主任、清华大学无锡应用技术研究院数字技术产业研究中心主任。民建中央信息和网络创新专委会委员、民建中央企业家精神专委会委员,中关村软联安全专业委会主任,中关村软件和信息服务产业创新联盟副理事长,中国计算机学会安全专业委员,海南国际仲裁院互联网服务中心专家顾问。