“云安全(Cloud Security)”技术是网路时代信息安全的最新体现,它融合了并行处理、格线计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网路中软体行为的异常监测,获取网际网路中木马、恶意程式的最新信息,推送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
基本介绍
- 中文名:云安全技术
- 外文名:Cloud Security
- 类型:安全系统
- 作用:查杀病毒保护数据等
先进特点
云安全是一群探针的结果上报、专业处理结果的分享,云安全好处是理论上可以把病毒的传播範围控制在一定区域内!和探针的数量、存活、及病毒处理的速度有关。
传统的上报是人为的手动的,而云安全是系统内自动快捷几秒钟内就完成的,这一种上报是最及时的,人工上报就做不到这一点。理想状态下,从一个盗号木马从攻击某台电脑,到整个“云安全”(Cloud Security)网路对其拥有免疫、查杀能力,仅需几秒的时间
思想来源
云安全技术是P2P技术、格线技术、云计算技术等分散式计算技术混合发展、自然演化的结果。
值得一提的是,云安全的核心思想,与刘鹏早在2003年就提出的反垃圾邮件格线非常接近。刘鹏当时认为,垃圾邮件泛滥而无法用技术手段很好地自动过滤,是因为所依赖的人工智慧方法不是成熟技术。垃圾邮件的最大的特徵是:它会将相同的内容传送给数以百万计的接收者。为此,可以建立一个分散式统计和学习平台,以大规模用户的协同计算来过滤垃圾邮件:首先,用户安装客户端,为收到的每一封邮件计算出一个唯一的“指纹”,通过比对“指纹”可以统计相似邮件的副本数,当副本数达到一定数量,就可以判定邮件是垃圾邮件;其次,由于网际网路上多台计算机比一台计算机掌握的信息更多,因而可以採用分散式贝叶斯学习算法,在成百上千的客户端机器上实现协同学习过程,收集、分析并共享最新的信息。反垃圾邮件格线体现了真正的格线思想,每个加入系统的用户既是服务的对象,也是完成分散式统计功能的一个信息节点,随着系统规模的不断扩大,系统过滤垃圾邮件的準确性也会随之提高。用大规模统计方法来过滤垃圾邮件的做法比用人工智慧的方法更成熟,不容易出现误判假阳性的情况,实用性很强。反垃圾邮件格线就是利用分布网际网路里的千百万台主机的协同工作,来构建一道拦截垃圾邮件的“天网”。反垃圾邮件格线思想提出后,被IEEE Cluster 2003国际会议选为杰出格线项目在香港作了现场演示,在2004年格线计算国际研讨会上作了专题报告和现场演示,引起较为广泛的关注,受到了中国最大邮件服务提供商网易公司创办人丁磊等的重视。既然垃圾邮件可以如此处理,病毒、木马等亦然,这与云安全的思想就相去不远了。
系统难点
要想建立“云安全”系统,并使之正常运行,需要解决四大问题:
第一、 需要海量的客户端(云安全探针)。只有拥有海量的客户端,才能对网际网路上出现的恶意程式,危险网站有最灵敏的感知能力。一般而言安全厂商的产品使用率越高,反映应当越快,最终应当能够实现无论哪个网民中毒、访问挂马网页,都能在第一时间做出反应。
第二、 需要专业的反病毒技术和经验。发现的恶意程式被探测到,应当在儘量短的时间内被分析,这需要安全厂商具有过硬的技术,否则容易造成样本的堆积,使云安全的快速探测的结果大打折扣。
第三、 需要大量的资金和技术投入。“云安全”系统在伺服器、频宽等硬体需要极大的投入,同时要求安全厂商应当具有相应的顶尖技术团队、持续的研究花费。
第四、 可以是开放的系统,允许合作伙伴的加入。“云安全”可以是个开放性的系统,其“探针”应当与其他软体相兼容,即使用户使用不同的防毒软体,也可以享受“云安全”系统带来的成果。
云安全应对
漏洞扫描与渗透测试
漏洞扫描和渗透测试是所有PaaS和基础设施即服务(IaaS)云安全技术都必须执行的。无论他们是在云中託管应用程式还是运行伺服器和存储基础设施,用户都必须对暴露在网际网路中的系统的安全状态进行评估。。
对于在PaaS和IaaS环境中测试API和应用程式的集成来说,与云供应商协作的企业应重点关注处于传输状态下的数据,以及通过绕过身份认证或注入式攻击等方式对应用程式和数据的潜在非法访问。
云安全技术配置管理
云安全技术中最重要的要素就是配置管理,其中包括了补丁管理。
在SaaS环境中,配置管理是完全由云供应商负责处理的。如有可能,客户可通过鉴证业务準则公告(SSAE)第16号、服务组织控制(SOC)报告或ISO认证以及云安全联盟的安全、信任和保证注册证明向供应商提出一些补丁管理和配置管理实践的要求。
在PaaS环境中,平台的开发与维护都是由供应商来负责的。应用程式配置与开发的库和工具可能是由企业用户管理的,因此安全配置标準仍然还是属于内部定义範畴。然后,这些标準都应在PaaS环境中被套用和监控。
云安全技术的安全控制
云供应商负责所有基础设施的运行,其中包括了虚拟化技术、网路以及存储等各个方面。它还负责其相关代码,包括了管理界面和API,所以对它的开发实践和系统开发生命周期的评价也是非常必要的。只有IaaS客户会对整个系统规格拥有真正的控制权;如果虚拟机是基于一个供应商提供的模板而部署的,那幺在实际使用前也应对这些虚拟机进行仔细研究并确保其安全性。
技术关键
云安全技术关键在于首先理解客户及其需求,并设计针对这些需求的解决方案,例如全磁碟或基于档案的加密、客户密钥管理、入侵检测/防御、安全信息和事件管理(SIEM)、日誌分析、双重模式身份验证、物理隔离等等。
云安全技术的安全标準包括支付卡行业数据安全标準(PCI DSS),一个供企业保护信用卡信息的专用信息安全标準。2002年的Sarbanes-Oxley法案(SOX),它要求对支持企业披露準确性和可靠性的数据进行保护和存储。1996年的健康保险流通与责任法案(HIPAA),它规定了受保护健康电子信息的国家级安全性标準。
技术分类
云安全从性质上可以分为两大类,一类是用户的数据隐私保护,另一类是针对传统网际网路和硬体设备的安全。
在云安全技术方面,首先是多租户带来的安全问题。不同用户之间相互隔离,避免相互影响。云时代,需要通过一些技术防治用户有意或无意识地"串门"。
其次,採用第三方平台带来的安全风险问题。提供云服务的厂商不是全部拥有自己的数据中心,一旦租用第三方的云平台,那幺这里面就存在服务提供商管理人员许可权的问题。
