您的位置: 网界网 > 周报全文 > 正文

[周报全文]云计算安全才刚刚上路

2010年07月01日 14:10:16 | 作者:网界网 边歆 | 来源:网界网 | 查看本文手机版

摘要:云计算的概念一出现,便得到了业界的高度认同,随之便迅速发展起来。目前,人们对什么是云计算已经有了清楚的认识。

标签
加密
访问控制
虚拟机防护
云计算安全

【CNW.com.cn 专稿】云计算[注]的概念一出现,便得到了业界的高度认同,随之便迅速发展起来。目前,人们对什么是云计算已经有了清楚的认识。

然而,伴随着云计算的逐步普及,现在针对云计算的攻击已经越来越多。保护云计算的安全是一个非常棘手的问题。业界用了整整15年,还是在不断努力确保实物服务器及数据环境的安全,全力以赴应对瞬息万变的安全威胁。所以保护云计算安全的战斗也将是艰巨而漫长的。

云计算的定义有广义和狭义之分,非常清晰明确。但是对于什么是云计算安全,业界却没有明确的说法。这说明云计算安全还处在初级阶段,远未达到成熟阶段。也意味着云计算安全的发展落在了云计算的后面。不过这也符合安全的发展规律。因为人们总是先建设基础设施、应用,然后才会考虑它们的安全性并进行加固。

到底什么是云计算安全?在了解云计算安全之前,我们先要明确一点,云安全和云计算安全是两个概念,不能混淆。

我看到过很多安全厂商所提出的云计算解决方案,以此为基础,我尝试着对云计算安全给出一个个人说法。我认为,目前狭义的云计算安全包含三个核心技术方向,分别是访问控制、数据加密和对虚拟机的安全防护手段。而广义的云计算安全则包括云服务提供商所采取的各种网络安全措施,例如防DDoS[注]攻击技术。

访问控制:

确认用户身份

已经有云计算服务提供商利用访问控制来增强云计算的安全性。

PivotLink公司提供基于云的、按使用付费的商业智能服务。它与Novell合作并对后者的云安全服务进行了beta测试。

PivotLink负责开发的高级副总裁Bob Kemper说:“我们从插入在客户服务中的Novell服务获得认证功能,目前我们使用身份管理和他们的认证服务来管理安全水平。Novell与所需的企业系统进行集成来提供对信息的访问。”

PivotLink的许多客户是各公司的零售经理。在使用Novell的云安全服务时,这些客户不必使用运行在企业内部的Novell软件,只要使用任意LDAP或Active Directory基础设施就行。

这种基于云的服务使用基于SAML的认证。与Novell合作进行beta测试的协议,允许客户可以自动删除离职的商店经理的账户,并给新上任的经理自动添加授权,使其能够使用PivotLink的服务。

Kemper说:“我们的客户表示需要某种形式的管控和审计,则使得他们对把敏感数据上载到云中感到更放心。”

Novell云安全业务部总经理Dipto Chakravarty说,Novell与许多软件服务化、托管提供商进行接触,了解他们对与Novell在基于云的安全服务方面开展合作的兴趣。

有一种设想是,Novell必须起到技术协议“中立国”的作用,支持SAML1.1、SAML2、WS-Fed、InfoCard和OpenID,以及企业端的Shibboleth。Chakravarty表示,Novell云安全服务是真正的多客户托管安全解决方案,它可以由SaaS[注]的托管服务商托管,或由Novell的合作伙伴托管。

EMC信息安全事业部RSA首席技术官Bret Hartma表示,专业的安全厂商可以满足云计算服务提供商三个方面的安全需求:

第一方面,保护云服务提供商免受外来攻击。

第二方面,满足云计算环境中不同租户之间的数据独立性。在一个云环境中通常会有两个以上的租户,他们之间的数据不能互相干扰。而且在未经授权的情况下,一个用户不能访问另外一个用户的数据。

第三方面,确保云服务提供商自身平台的安全。比如访问控制、身份认证等基础性的要求。只有满足这三方面的需求,企业才能非常放心地将他们的应用转移到云平台上。

加密:

保证数据自身安全

企业通常在网络的边界部署安全设备,用来拒绝外部非授权用户的访问。然而在虚拟化环境中,虚拟IT服务不存在物理边界。于是,企业必须假设所有传输的数据都有潜在的被拦截风险。

没有了物理控制,就必须依靠其他加固原理来限制对信息的访问。信息的加密是其中最重要的方法,它可以限制对有用信息的访问,这种限制甚至超过了对物理系统的保护级别。所以,加密成为了保证云服务安全性的关键性部分。

赛门铁克资深信息安全顾问林育民表示,在保护云端的数据安全方面,赛门铁克正在研发新的用户密钥管理技术来保护用户数据的安全。

趋势科技执行副总裁暨中国区总经理张伟钦认为,如果企业把数据放到云服务提供商那里,数据的加密和解密就很重要。密钥一定要在企业自己的口袋里,别人只要没有密钥,就不能看到数据。须要注意的是,钥匙一定不要放在IT部门,而且资料的保存者和钥匙的拥有者一定要分开。

12

参考资料

1.云计算:(Cloud Computing)描述了一种基于互联网的新的IT服务增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展而且经常是虚拟化的资源。云计算是继1980年代大型计算机到...详情>>

2.SaaS:软件即服务(Software as a Service,简称)有时被作为“即需即用软件”(即“一经要求,即可使用”)提及,它是一种软件交付模式。在这种交付模式中云端集中式托管软件及其...详情>>

3.DDoS:分布式拒绝服务(:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务...详情>>

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]