“云安全”(Cloud Security)是網(wǎng)絡(luò)時(shí)代信息安全的最新體現(xiàn)�,它融合了并行處理�、網(wǎng)格計(jì)算、未知病毒行為判斷等新興技術(shù)和概念��,通過(guò)網(wǎng)狀的大量客戶端對(duì)網(wǎng)絡(luò)中軟件行為的異常監(jiān)測(cè),獲取互聯(lián)網(wǎng)中木馬�����、惡意程序的最新信息�����,傳送到Server端進(jìn)行自動(dòng)分析和處理���,再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端��。
云計(jì)算中的安全控制其主要部分與其它IT環(huán)境中的安全控制并沒(méi)有什么不同��,然而���,基于采用的云服務(wù)模型、運(yùn)行模式以及提供云服務(wù)的技術(shù)�����,與傳統(tǒng)IT解決方案相比云計(jì)算可能面臨不同的風(fēng)險(xiǎn)�。
即使有些運(yùn)行責(zé)任落在某些第三方伙伴身上,云計(jì)算的一個(gè)獨(dú)特點(diǎn)就是能夠在適度地失去控制的同時(shí)又能保持可糾責(zé)性(acc•untability)。
一個(gè)機(jī)構(gòu)的安全態(tài)勢(shì)的特征取決于成熟度�����、有效性以及實(shí)現(xiàn)基于風(fēng)險(xiǎn)調(diào)節(jié)的安全控制的完全程度����,這些安全控制可以在一層或多層上實(shí)現(xiàn)����,包括設(shè)備(物理安全)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施(網(wǎng)絡(luò)安全)���、IT系統(tǒng)(系統(tǒng)安全)�����,一直到信息和應(yīng)用(應(yīng)用安全)����,更多的控制還包括人員和過(guò)程層面的��,職責(zé)分離和變更的管理等�。
在不同云服務(wù)模型中,提供商和用戶的安全職責(zé)有很大的不同�����。例如,Amaz•n的 AWS EC2架構(gòu)作為服務(wù)包括了一直到hypervis•r安全的供應(yīng)商的安全責(zé)任����,也就是說(shuō)它們只能解決物理安全、環(huán)境安全和虛擬化安全這些安全控制����,而用戶則負(fù)責(zé)與IT系統(tǒng)(事件)相關(guān)的安全控制,包括操作系統(tǒng)�、應(yīng)用和數(shù)據(jù)。
Salesf•rce.c•m的客戶資源管理CRM SaaS提供的正好相反�,因?yàn)檎麄(gè)“棧”都由Salesf•rce.c•m提供,提供商不僅負(fù)責(zé)物理和環(huán)境安全還必須解決基礎(chǔ)設(shè)施����、應(yīng)用和數(shù)據(jù)相關(guān)的安全控制,這減輕了用戶的許多運(yùn)行責(zé)任�。
云計(jì)算的吸引力之一在于由經(jīng)濟(jì)上的可擴(kuò)展性、重用和標(biāo)準(zhǔn)化提供的成本效率���,為了支撐這種成本效率���,云提供商提供的服務(wù)必須足夠靈活�����,以服務(wù)最大可能的用戶數(shù)�����、最大化他們的市場(chǎng),不幸的是�,將安全集成到這些服務(wù)方案中常被認(rèn)為使得方案變得僵化。
這種僵化常與傳統(tǒng)IT相比���,表現(xiàn)在云環(huán)境不能部署同等的安全控制�����,這主要是由于基礎(chǔ)設(shè)施的抽象化�����、缺少可視化��、缺少集成多種熟悉的安全控制手段的能力���,特別是在網(wǎng)絡(luò)層上�。
安全是如何集成的
上圖表明了這些問(wèn)題:在SaaS環(huán)境中���,安全控制及其范圍在服務(wù)合同中進(jìn)行協(xié)商;服務(wù)等級(jí)���、隱私和符合性等也都在合同中關(guān)系到。在IaaS中���,低層基礎(chǔ)設(shè)施和抽象層的安全保護(hù)屬于提供商職責(zé)��,其它職責(zé)則屬于客戶��。PaaS則居于兩者之間���,提供商為平臺(tái)自身提供安全保護(hù),平臺(tái)上應(yīng)用的安全性及如何安全地開(kāi)發(fā)這些應(yīng)用則為客戶的職責(zé)�。
中國(guó)企業(yè)的“云安全”概念
中國(guó)企業(yè)的 “云安全”,在國(guó)際云計(jì)算領(lǐng)域獨(dú)樹(shù)一幟����。中國(guó)企業(yè)云安全通過(guò)網(wǎng)狀的大量客戶端對(duì)網(wǎng)絡(luò)中軟件行為的異常監(jiān)測(cè),獲取互聯(lián)網(wǎng)中木馬�、惡意程序的最新信息�,推送到服務(wù)端進(jìn)行自動(dòng)分析和處理����,再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端。整個(gè)互聯(lián)網(wǎng)���,變成了一個(gè)超級(jí)大的殺毒軟件��,這就是云安全計(jì)劃的宏偉目標(biāo)�。
發(fā)展趨勢(shì)
未來(lái)殺毒軟件將無(wú)法有效地處理日益增多的惡意程序���。來(lái)自互聯(lián)網(wǎng)的主要威脅正在由電腦病毒轉(zhuǎn)向惡意程序及木馬,在這樣的情況下��,采用的特征庫(kù)判別法顯然已經(jīng)過(guò)時(shí)��。云安全技術(shù)應(yīng)用后��,識(shí)別和查殺病毒不再僅僅依靠本地硬盤(pán)中的病毒庫(kù)�,而是依靠龐大的網(wǎng)絡(luò)服務(wù),實(shí)時(shí)進(jìn)行采集���、分析以及處理�����。整個(gè)互聯(lián)網(wǎng)就是一個(gè)巨大的“殺毒軟件”�,參與者越多,每個(gè)參與者就越安全�,整個(gè)互聯(lián)網(wǎng)就會(huì)更安全。
云安全的概念提出后���,曾引起了廣泛的爭(zhēng)議�����,許多人認(rèn)為它是偽命題�。但事實(shí)勝于雄辯�����,云安全的發(fā)展像一陣風(fēng)[1]�����,瑞星�、趨勢(shì)、卡巴斯基�����、MCAFEE、SYMANTEC�、江民科技、PANDA�、金山、360安全衛(wèi)士等都推出了云安全解決方案���。瑞星基于云安全策略開(kāi)發(fā)的2009新品����,每天攔截?cái)?shù)百萬(wàn)次木馬攻擊���,其中1月8日更是達(dá)到了765萬(wàn)余次����。趨勢(shì)科技云安全已經(jīng)在全球建立了5大數(shù)據(jù)中心����,幾萬(wàn)部在線服務(wù)器��。據(jù)悉�,云安全可以支持平均每天55億條點(diǎn)擊查詢����,每天收集分析2.5億個(gè)樣本�����,資料庫(kù)第一次命中率就可以達(dá)到99%�����。借助云安全���,趨勢(shì)科技現(xiàn)在每天阻斷的病毒感染最高達(dá)1000萬(wàn)次��。
思想來(lái)源
云安全技術(shù)是P2P技術(shù)�、網(wǎng)格技術(shù)��、云計(jì)算技術(shù)等分布式計(jì)算技術(shù)混合發(fā)展��、自然演化的結(jié)果����。
云安全的過(guò)程值得一提的是,云安全的核心思想����,與劉鵬早在2003年就提出的反垃圾郵件網(wǎng)格非常接近��。劉鵬當(dāng)時(shí)認(rèn)為����,垃圾郵件泛濫而無(wú)法用技術(shù)手段很好地自動(dòng)過(guò)濾�����,是因?yàn)樗蕾嚨娜斯ぶ悄芊椒ú皇浅墒旒夹g(shù)�。垃圾郵件的最大的特征是:它會(huì)將相同的內(nèi)容發(fā)送給數(shù)以百萬(wàn)計(jì)的接收者。
為此���,可以建立一個(gè)分布式統(tǒng)計(jì)和學(xué)習(xí)平臺(tái)����,以大規(guī)模用戶的協(xié)同計(jì)算來(lái)過(guò)濾垃圾郵件:
首先��,用戶安裝客戶端���,為收到的每一封郵件計(jì)算出一個(gè)唯一的“指紋”,通過(guò)比對(duì)“指紋”可以統(tǒng)計(jì)相似郵件的副本數(shù)��,當(dāng)副本數(shù)達(dá)到一定數(shù)量,就可以判定郵件是垃圾郵件;
其次���,由于互聯(lián)網(wǎng)上多臺(tái)計(jì)算機(jī)比一臺(tái)計(jì)算機(jī)掌握的信息更多���,因而可以采用分布式貝葉斯學(xué)習(xí)算法,在成百上千的客戶端機(jī)器上實(shí)現(xiàn)協(xié)同學(xué)習(xí)過(guò)程���,收集����、分析并共享最新的信息���。
反垃圾郵件網(wǎng)格體現(xiàn)了真正的網(wǎng)格思想���,每個(gè)加入系統(tǒng)的用戶既是服務(wù)的對(duì)象,也是完成分布式統(tǒng)計(jì)功能的一個(gè)信息節(jié)點(diǎn)���,隨著系統(tǒng)規(guī)模的不斷擴(kuò)大����,系統(tǒng)過(guò)濾垃圾郵件的準(zhǔn)確性也會(huì)隨之提高。用大規(guī)模統(tǒng)計(jì)方法來(lái)過(guò)濾垃圾郵件的做法比用人工智能的方法更成熟���,不容易出現(xiàn)誤判假陽(yáng)性的情況��,實(shí)用性很強(qiáng)�。反垃圾郵件網(wǎng)格就是利用分布互聯(lián)網(wǎng)里的千百萬(wàn)臺(tái)主機(jī)的協(xié)同工作����,來(lái)構(gòu)建一道攔截垃圾郵件的“天網(wǎng)”。
反垃圾郵件網(wǎng)格思想提出后����,被IEEE Cluster 2003國(guó)際會(huì)議選為杰出網(wǎng)格項(xiàng)目在香港作了現(xiàn)場(chǎng)演示,在2004年網(wǎng)格計(jì)算國(guó)際研討會(huì)上作了專題報(bào)告和現(xiàn)場(chǎng)演示�,引起較為廣泛的關(guān)注,受到了中國(guó)最大郵件服務(wù)提供商網(wǎng)易公司創(chuàng)辦人丁磊等的重視�。既然垃圾郵件可以如此處理,病毒��、木馬等亦然�����,這與云安全的思想就相去不遠(yuǎn)了�。
策略構(gòu)想
云安全的策略構(gòu)想是使用者越多,每個(gè)使用者就越安全,因?yàn)槿绱她嫶蟮挠脩羧���,足以覆蓋互聯(lián)網(wǎng)的每個(gè)角落,只要某個(gè)網(wǎng)站被掛馬或某個(gè)新木馬病毒出現(xiàn)��,就會(huì)立刻被截獲�����。
技術(shù)由來(lái)
云安全的核心思想�����,與劉鵬早在2003年就提出的反垃圾郵件網(wǎng)格非常接近����,劉鵬當(dāng)時(shí)認(rèn)為,垃圾郵件泛濫而無(wú)法用技術(shù)手段很好地自動(dòng)過(guò)濾�,是因?yàn)樗蕾嚨娜斯ぶ悄芊椒ú皇浅墒旒夹g(shù)。垃圾郵件的最大的特征是:它會(huì)將相同的內(nèi)容發(fā)送給數(shù)以百萬(wàn)計(jì)的接收者�����。為此可以建立一個(gè)分布式統(tǒng)計(jì)和學(xué)習(xí)平臺(tái)�,以大規(guī)模用戶的協(xié)同計(jì)算來(lái)過(guò)濾垃圾郵件:首先,用戶安裝客戶端,為收到的每一封郵件計(jì)算出一個(gè)唯一的“指紋”����,通過(guò)比對(duì)“指紋”可以統(tǒng)計(jì)相似郵件的副本數(shù),當(dāng)副本數(shù)達(dá)到一定數(shù)量��,就可以判定郵件是垃圾郵件���。
由于互聯(lián)網(wǎng)上多臺(tái)計(jì)算機(jī)比一臺(tái)計(jì)算機(jī)掌握的信息更多����,因而可以采用分布式貝葉斯學(xué)習(xí)算法���,在成百上千的客戶端機(jī)器上實(shí)現(xiàn)協(xié)同學(xué)習(xí)過(guò)程�,收集���、分析并共享最新的信息���。反垃圾郵件網(wǎng)格體現(xiàn)了真正的網(wǎng)格思想,每個(gè)加入系統(tǒng)的用戶既是服務(wù)的對(duì)象���,也是完成分布式統(tǒng)計(jì)功能的一個(gè)信息節(jié)點(diǎn)���,隨著系統(tǒng)規(guī)模的不斷擴(kuò)大�,系統(tǒng)過(guò)濾垃圾郵件的準(zhǔn)確性也會(huì)隨之提高��。用大規(guī)模統(tǒng)計(jì)方法來(lái)過(guò)濾垃圾郵件的做法比用人工智能的方法更成熟�����,不容易出現(xiàn)誤判假陽(yáng)性的情況��,實(shí)用性很強(qiáng)��。反垃圾郵件網(wǎng)格就是利用分布互聯(lián)網(wǎng)里的千百萬(wàn)臺(tái)主機(jī)的協(xié)同工作��,來(lái)構(gòu)建一道攔截垃圾郵件的“天網(wǎng)”��。反垃圾郵件網(wǎng)格思想提出后�,被IEEE Cluster 2003國(guó)際會(huì)議選為杰出網(wǎng)格項(xiàng)目在香港作了現(xiàn)場(chǎng)演示���,在2004年網(wǎng)格計(jì)算國(guó)際研討會(huì)上作了專題報(bào)告和現(xiàn)場(chǎng)演示�����,引起較為廣泛的關(guān)注�,受到了中國(guó)最大郵件服務(wù)提供商網(wǎng)易公司創(chuàng)辦人丁磊等的重視。既然垃圾郵件可以如此處理��,病毒���、木馬等亦然��,這與云安全的思想就相去不遠(yuǎn)了��。
名稱設(shè)計(jì)
“云安全”這個(gè)名字是馬剛起的�,本打算叫“安全云”�����,被大家鄙視���,以為土氣�����。其實(shí)這個(gè)概念早就有了����,只不過(guò)瑞星動(dòng)的比較快���。“云計(jì)算”之前����,有個(gè)很熱的概念叫做“網(wǎng)格計(jì)算”,就是把大家的計(jì)算機(jī)聯(lián)合起來(lái)���,貢獻(xiàn)出一些空閑的計(jì)算能力����,供大家隨時(shí)取用����。google是“網(wǎng)格計(jì)算”最早的利用者之一���,他的服務(wù)器都是用廉價(jià)的PC機(jī)聯(lián)合起來(lái)�����,用來(lái)取代昂貴的服務(wù)器�����,以提供大容量搜索要求的計(jì)算能力�。其中的技術(shù)難點(diǎn),就在于并行計(jì)算����、服務(wù)器通訊這些技術(shù)。
由瑞星服務(wù)器�、數(shù)千萬(wàn)卡卡用戶就可以組成虛擬的網(wǎng)絡(luò),簡(jiǎn)稱為“云”���。病毒針對(duì)“云”的攻擊�,都會(huì)被服務(wù)器截獲���、記錄并反擊���。被病毒感染的節(jié)點(diǎn)可以在最短時(shí)間內(nèi),獲取服務(wù)器的解決措施����,查殺病毒恢復(fù)正常。這樣的“云”����,理論上的安全程度是可以無(wú)限改善的。“云”最強(qiáng)大的地方�,就是拋開(kāi)了單純的“客戶端”防護(hù)的概念�。傳統(tǒng)客戶端被感染����,殺毒完畢之后就完了,沒(méi)有進(jìn)一步的信息跟蹤和分享����。而“云”的所有節(jié)點(diǎn),是與服務(wù)器共享信息的�����。你中毒了�����,服務(wù)器就會(huì)記錄��,在幫助你處理的同時(shí)��,也把信息分享給其它用戶����,他們就不會(huì)被重復(fù)感染��。于是這個(gè)“云”籠罩下的用戶越多,“云”記錄和分享的安全信息也就越多�����,整體的用戶也就越強(qiáng)大���。這才是網(wǎng)絡(luò)的真諦���,也是所謂“云安全”的精華之所在。
難點(diǎn)問(wèn)題
要想建立“云安全”系統(tǒng)���,并使之正常運(yùn)行�,需要解決四大問(wèn)題:第一�,需要海量的客戶端(云安全探針);第二,需要專業(yè)的反病毒技術(shù)和經(jīng)驗(yàn);第三��,需要大量的資金和技術(shù)投入;第四����,必須是開(kāi)放的系統(tǒng),而且需要大量合作伙伴的加入�����。
第一、 需要海量的客戶端(云安全探針)�����。只有擁有海量的客戶端�,才能對(duì)互聯(lián)網(wǎng)上出現(xiàn)的病毒、木馬��、掛馬網(wǎng)站有最靈敏的感知能力���。目前瑞星有超過(guò)一億的自有客戶端���,如果加上迅雷、久游等合作伙伴的客戶端�,則能夠完全覆蓋國(guó)內(nèi)的所有網(wǎng)民,無(wú)論哪個(gè)網(wǎng)民中毒�����、訪問(wèn)掛馬網(wǎng)頁(yè)�����,都能在第一時(shí)間做出反應(yīng)��。
第二�����、 需要專業(yè)的反病毒技術(shù)和經(jīng)驗(yàn)���。瑞星擁有將近20年的反病毒技術(shù)積累�,有數(shù)百名工程師組成的研發(fā)隊(duì)伍�����,近年來(lái)連續(xù)獲得國(guó)際級(jí)技術(shù)認(rèn)證�����,技術(shù)實(shí)力穩(wěn)居世界前列��。這些都使瑞星“云安全”系統(tǒng)的技術(shù)水平國(guó)內(nèi)首創(chuàng)�����,國(guó)際領(lǐng)先��。大量專利技術(shù)、虛擬機(jī)�、智能主動(dòng)防御、大規(guī)模并行運(yùn)算等技術(shù)的綜合運(yùn)用�,使得瑞星的“云安全”系統(tǒng)能夠及時(shí)處理海量的上報(bào)信息,將處理結(jié)果共享給“云安全”系統(tǒng)的每個(gè)成員�。
第三、 需要大量的資金和技術(shù)投入��。目前瑞星“云安全”系統(tǒng)單單在服務(wù)器����、帶寬等硬件上的投入已經(jīng)超過(guò)1億元,而相應(yīng)的頂尖技術(shù)團(tuán)隊(duì)��、未來(lái)數(shù)年持續(xù)的研究花費(fèi)將數(shù)倍于硬件投資���,這樣的投入規(guī)模是非專業(yè)廠商無(wú)法做到的�。
第四��、 必須是開(kāi)放的系統(tǒng)�����,而且需要大量合作伙伴的加入�����。瑞星“云安全”是個(gè)開(kāi)放性的系統(tǒng)�����,其“探針”與所有軟件完全兼容��,即使用戶使用其他殺毒軟件��,也可以安裝瑞星卡卡助手等帶有“探針”功能的軟件����,享受“云安全”系統(tǒng)帶來(lái)的成果。而久游��、迅雷等數(shù)百家重量級(jí)廠商的加入�,也大大加強(qiáng)了“云安全”系統(tǒng)的覆蓋能力。
京公網(wǎng)安備 11010802021500號(hào)
