1���、引言
自2006年云計(jì)算的概念產(chǎn)生以來(lái)����,各類與云計(jì)算相關(guān)的服務(wù)紛紛涌現(xiàn)����,隨之而來(lái)的就是人們對(duì)云安全問(wèn)題的關(guān)注。目前各個(gè)運(yùn)營(yíng)商�、服務(wù)提供商以及安全廠商所提的云安全解決方案,大都根據(jù)自己企業(yè)對(duì)云平臺(tái)安全的理解��,結(jié)合本企業(yè)專長(zhǎng)���,專注于某一方面的安全���。然而,對(duì)于用戶來(lái)說(shuō)云平臺(tái)是一個(gè)整體�����,需要構(gòu)建云平臺(tái)的整體安全防護(hù)體系。
因此�,針對(duì)云計(jì)算中心的安全需求建立信息安全防護(hù)體系已經(jīng)是大勢(shì)所趨���,云安全防護(hù)體系的建立��,必將使云計(jì)算得以更加健康��、有序的發(fā)展���。
2、云計(jì)算的安全問(wèn)題解析
云計(jì)算模式當(dāng)前已得到業(yè)界普遍認(rèn)同����。成為信息技術(shù)領(lǐng)域新的發(fā)展方向。但是����,隨著云計(jì)算的大量應(yīng)用。云環(huán)境的安全問(wèn)題也日益突出�。我們?nèi)绻荒芎芎玫亟鉀Q相關(guān)的安全管理問(wèn)題,云計(jì)算就會(huì)成為過(guò)眼"浮云"��。在眾多對(duì)云計(jì)算的討論中�����,SafeNet的調(diào)查非常具有代表性:"對(duì)于云計(jì)算面臨的安全問(wèn)題。88.5%的企業(yè)對(duì)云計(jì)算安全擔(dān)憂"�。各種調(diào)研數(shù)據(jù)也表明:安全性是用戶選擇云計(jì)算的首要考慮因素。近年來(lái)����,云安全的概念也有多種層面的解讀,本文所指云安全是聚焦于云計(jì)算中心的安全問(wèn)題及其安全防護(hù)體系�����。
2.1 云安全與傳統(tǒng)安全技術(shù)的關(guān)系
云計(jì)算引入了虛擬化技術(shù)�����。改變了服務(wù)方式����,但并沒(méi)有顛覆傳統(tǒng)的安全模式。安全的層次劃分是大體類似�,在云計(jì)算環(huán)境下,由于虛擬化技術(shù)的引入�,需要納入虛擬化安全的防護(hù)措施。而在基礎(chǔ)層面上���,仍然可依靠成熟的傳統(tǒng)安全技術(shù)來(lái)提供安全防護(hù)���。
云計(jì)算安全和傳統(tǒng)安全在安全目標(biāo)��、系統(tǒng)資源類型�、基礎(chǔ)安全技術(shù)方面是相同的���,而云計(jì)算又有其特有的安全問(wèn)題,主要包括虛擬化安全問(wèn)題和與云計(jì)算分租服務(wù)模式相關(guān)的一些安全問(wèn)題��。大體上�����,我們可以把云安全看做傳統(tǒng)安全的一個(gè)超集�,或者換句話說(shuō),云安全是傳統(tǒng)安全在云計(jì)算環(huán)境下的繼承和發(fā)展���。
綜合前面的討論�����,可以推導(dǎo)出一個(gè)基本的認(rèn)識(shí)�,云計(jì)算的模式是革命性的:虛擬化安全、數(shù)據(jù)安全和隱私保護(hù)是云安全的重點(diǎn)和難點(diǎn)�����。云安全將基于傳統(tǒng)安全技術(shù)獲得發(fā)展���。
2.2 云計(jì)算的安全需求與防護(hù)技術(shù)
解決安全問(wèn)題的出發(fā)點(diǎn)是風(fēng)險(xiǎn)分析��,CSA云安全聯(lián)盟提出了所謂"七重罪"的云安全重點(diǎn)風(fēng)險(xiǎn)域�。
Threat 1:Abuse and Nefarious Use of Cloud Computing(計(jì)算的濫用����、惡用、拒絕服務(wù)攻擊)��;
Throat 2:Insecure Interfaces and APIs(不安全的接口和API)��;
Threat 3:Malicious Insiders(惡意的內(nèi)部員工)�����;
Threat 4:Shared Technology Issues(共享技術(shù)產(chǎn)生的問(wèn)題)����;
Threat 5:Data Loss or Leakage(數(shù)據(jù)泄漏)�;
Threat 6:Account or Service Hijacking(賬號(hào)和服務(wù)劫持)�����;
Threat 7:Unknown Risk Profile(未知的風(fēng)險(xiǎn)場(chǎng)景)����。
信息的機(jī)密性、完整性和可用性被公認(rèn)為信息安全的三個(gè)重要的基本屬性�����。用戶在使用云計(jì)算服務(wù)時(shí)也會(huì)從這三個(gè)方面提出基本的信息安全需求���。
機(jī)密性安全需求:要求上傳到云端的信息及其處理結(jié)果以及所要求的云計(jì)算服務(wù)具有排他性,只能被授權(quán)人訪問(wèn)或使用�,不會(huì)被非法泄露。
完整性安全需求:要求與云計(jì)算相關(guān)的數(shù)據(jù)或服務(wù)是完備���、有效�����、真實(shí)的�,不會(huì)被非法操縱、破壞���、篡改��、偽造�,并且不可否認(rèn)或抵賴����。
可用性安全需求:要求網(wǎng)絡(luò)、數(shù)據(jù)和服務(wù)具有連續(xù)性��、準(zhǔn)時(shí)性����,不會(huì)中斷或延遲,以確保云計(jì)算服務(wù)在任何需要的時(shí)候能夠?yàn)槭跈?quán)使用者正常使用��。
根據(jù)云計(jì)算中心的安全需求����,我們會(huì)相應(yīng)得到一個(gè)安全防護(hù)技術(shù)的層次結(jié)構(gòu):底層是基礎(chǔ)設(shè)施安全,包括基礎(chǔ)平臺(tái)安全�����、虛擬化安全和安全管理;中間是數(shù)據(jù)安全���。上層是安全服務(wù)層面��,外圍還包括安全接入相關(guān)的防護(hù)技術(shù)���。
3、等級(jí)保護(hù)背景下的云安全體系
3.1 等級(jí)保護(hù)標(biāo)準(zhǔn)與云安全
自1994年國(guó)務(wù)院147號(hào)令開(kāi)始����。信息安全等級(jí)保護(hù)體系歷經(jīng)近20年的發(fā)展,從政策法規(guī)�、國(guó)家標(biāo)準(zhǔn)�����、到測(cè)評(píng)管理都建立了完備的體系�����,自2010年以來(lái)��,在公安部的領(lǐng)導(dǎo)下。信息安全等級(jí)保護(hù)落地實(shí)施開(kāi)展得如火如荼�,信息安全等級(jí)保護(hù)已經(jīng)成為我國(guó)信息化建設(shè)的重要安全指導(dǎo)方針。
盡管引入了虛擬化等新興技術(shù)�,運(yùn)營(yíng)模式也從出租機(jī)房進(jìn)化到出租虛擬資源,乃至出租服務(wù)����。但從其本質(zhì)上看,云計(jì)算中心仍然是一類信息系統(tǒng)�����,需要依照其重要性不同分等級(jí)進(jìn)行保護(hù)�����。云計(jì)算中心的安全工作必須依照等級(jí)保護(hù)的要求來(lái)建設(shè)運(yùn)維��。此外�。云安全還需要考慮虛擬化等新的技術(shù)和運(yùn)營(yíng)方式所帶來(lái)的安全問(wèn)題。因此�,云計(jì)算中心防護(hù)體系應(yīng)當(dāng)是以等級(jí)保護(hù)為指導(dǎo)思想,從云計(jì)算中心的安全需求出發(fā)��。從技術(shù)和管理兩個(gè)層面全方位保護(hù)云計(jì)算中心的信息安全:全生命周期保證云計(jì)算中心的安全建設(shè)符合等保要求:將安全理念貫穿云計(jì)算中心建設(shè)���、整改����、測(cè)評(píng)、運(yùn)維全過(guò)程���。建設(shè)目標(biāo)是要滿足不同用戶不同等保級(jí)別的安全要求�。做到等保成果的可視化�����,做到安全工作的持久化�。
3.2 云計(jì)算中心的安全框架
一個(gè)云計(jì)算中心的安全防護(hù)體系的構(gòu)建。應(yīng)以等級(jí)保護(hù)為系統(tǒng)指導(dǎo)思想��,能夠充分滿足云計(jì)算中心的安全需求為目標(biāo)�。根據(jù)前面的研究,我們提出一個(gè)云計(jì)算中心的安全框架���,包括傳統(tǒng)安全技術(shù)、云安全技術(shù)和安全運(yùn)維管理三個(gè)層面的安全防護(hù)��。
云安全框架以云安全管理平臺(tái)為中心��,綜合安全技術(shù)和管理運(yùn)維兩個(gè)方面的手段確保系統(tǒng)的整體安全。在安全技術(shù)方面�,除了傳統(tǒng)的物理安全、網(wǎng)絡(luò)安全���、主機(jī)安全�、應(yīng)用安全�����、數(shù)據(jù)安全��、備份恢復(fù)等保障措施�����,還需要通過(guò)虛擬化安全防護(hù)技術(shù)和云安全服務(wù)來(lái)應(yīng)對(duì)云計(jì)算的新特征所帶來(lái)的安全要求�����。
3.3 云安全防護(hù)體系架構(gòu)
在實(shí)際的云安全防護(hù)體系建設(shè)中����。首先要在網(wǎng)絡(luò)和主機(jī)等傳統(tǒng)的安全設(shè)備層面建立基礎(chǔ)信息系統(tǒng)安全防護(hù)系統(tǒng)?���;A(chǔ)信息安全防護(hù)體系是以等級(jí)保護(hù)標(biāo)準(zhǔn)為指導(dǎo)進(jìn)行構(gòu)建�����,符合等級(jí)保護(hù)標(biāo)準(zhǔn)對(duì)相應(yīng)安全級(jí)別的基本安全要求�。
在此基礎(chǔ)上�����,通過(guò)SOC安全集中管理系統(tǒng)����、虛擬安全組件、SMC安全運(yùn)維管理系統(tǒng)和等保合規(guī)管理系統(tǒng)四個(gè)安全子系統(tǒng)共同組成云安全管理中心��。通過(guò)實(shí)體的安全技術(shù)和虛擬化安全防護(hù)技術(shù)的協(xié)同工作����,為云計(jì)算中心提供從實(shí)體設(shè)備到虛擬化系統(tǒng)的全面深度安全防護(hù),同時(shí)通過(guò)專業(yè)的SLC等保合規(guī)管理系統(tǒng)來(lái)確保云安全體系對(duì)于等級(jí)保護(hù)標(biāo)準(zhǔn)的合規(guī)性����。
來(lái)源:CIO時(shí)代網(wǎng)
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”��,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力�。凡轉(zhuǎn)載文章,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)�。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056。
延伸閱讀
