云時(shí)代需要與之匹配的安全解決方案。單點(diǎn)的、被動(dòng)的傳統安全方案無(wú)法滿(mǎn)足云計算虛擬、動(dòng)態(tài)、異構的環(huán)境。正是基于這樣的考慮,浪潮在2014“Inspur World”浪潮技術(shù)與應用峰會(huì )上宣布推出云主機安全產(chǎn)品解決方案,以可信服務(wù)器為根基,通過(guò)構建從可信服務(wù)器、虛擬化安全、操作系統加固到應用容器安全的完整“信任鏈”,實(shí)現完整、主動(dòng)的安全。
“老三樣”解決不了新問(wèn)題
“當前我國安全防護的現狀是仍然傾向老三樣,防火墻、入侵監測、防病毒。” 國家信息化專(zhuān)家咨詢(xún)委員會(huì )委員、中國工程院院士沈昌祥在浪潮Inspur World大會(huì )云數據中心安全分論壇表示,云安全的發(fā)展遠遠滯后于云計算和大數據的發(fā)展。
國家信息化專(zhuān)家咨詢(xún)委員會(huì )委員、中國工程院院士沈昌祥
與傳統數據中心相比,云數據中心存在新的安全風(fēng)險。這些風(fēng)險包括新的技術(shù)和應用模式。比如針對虛擬化的Rootkit攻擊,一旦被攻破將波及整個(gè)業(yè)務(wù)系統,而不僅是單臺服務(wù)器暴露在危險之中,已經(jīng)實(shí)現虛擬化的數據和資源將會(huì )產(chǎn)生連帶風(fēng)險。
此外,傳統安全威脅也在云時(shí)代被放大,云計算平臺是一個(gè)通用的平臺,其上可以運行多種多樣的網(wǎng)絡(luò )應用,因此也可能帶來(lái)各種不同的安全威脅。這幾年最危險和最隱蔽的高級持續性威脅攻擊(APT)也瞄準了云數據中心,通過(guò)鏈路層、網(wǎng)絡(luò )層、系統層、應用層(Web、數據庫等)等各個(gè)層面,把擁有大量關(guān)鍵業(yè)務(wù)數據的云主機作為攻擊目標。
那么,云時(shí)代的需要什么樣的安全保護?
基于可信計算構建“信任鏈”
“可信計算改變了傳統的‘封堵查殺’等‘被動(dòng)應對’的防護模式,形成‘主動(dòng)防御’能力,滿(mǎn)足云數據中心安全需求。” 沈昌祥為云安全指明了方向,并且從應用效果來(lái)看,“已經(jīng)證明可信計算對于國內多類(lèi)計算機設備和操作系統來(lái)說(shuō),是完全可行的有效的網(wǎng)絡(luò )安全技術(shù)和管理措施。”
可信計算是指在計算的同時(shí)進(jìn)行安全防護,計算全程可測可控,不被干擾。具有身份識別、狀態(tài)度量、保密存儲等功能。其核心思想是通過(guò)在硬件上建立計算資源節點(diǎn)和可信保護節點(diǎn)并行結構,從平臺加電開(kāi)始,到應用程序的執行,構建完整的信任鏈。
完整的信任鏈是可信計算中最重要的一環(huán)。華中科技大學(xué)計算機學(xué)院的鄒德清教授指出:“在云系統安全構建上,需要分析云系統動(dòng)態(tài)復雜性特征,研究面向海量實(shí)體復雜信任關(guān)系的信任模型、信任基、信任度量和判斷等。”即達到體系結構、操作行為、資源配置、數據存儲、策略管理上的整體可信。
華中科技大學(xué)計算機學(xué)院鄒德清教授
構建信任鏈的優(yōu)勢在于,從安全技術(shù)上講,其將可信計算從單機擴展到虛擬化和分布式結算,保證了云數據中心中各種行為的可控性,此外云主機系統在數據處理和業(yè)務(wù)運行中的完整性、保密性和可用性也可以得到充分保障;而從管理措施上講,云主機安全系統采用白名單機制,建立了嚴格的準入制度,并在運行中一級測量一級,一級信任一級,從而實(shí)現云計算管理的可控和安全。
以可信計算為基礎,構建完整的信任鏈是解決云時(shí)代安全的必由之路。浪潮云主機安全產(chǎn)品解決方案正是踏準時(shí)代的節拍而來(lái)。浪潮集團信息安全事業(yè)部副總經(jīng)理蔡一兵博士表示:“浪潮云主機安全產(chǎn)品解決方案以可信服務(wù)器為根基,構建鏈接固件、虛擬主機、虛擬操作系統和上層應用的軟硬一體化‘信任鏈’,其底層是自主可控,中間是可信,上層是彈性的安全服務(wù),并建立常態(tài)的安全管理機制。” 可信計算之外,該方案還融合了操作系統加固、虛擬化加固、虛擬網(wǎng)絡(luò )控制等安全技術(shù),可以全面解決云主機面臨的傳統攻擊以及‘Guest OS鏡像篡改’、‘租戶(hù)攻擊’和‘虛擬機篡改’等新型風(fēng)險。
浪潮集團信息安全事業(yè)部副總經(jīng)理蔡一兵博士
中國亟需自主可控云安全
云安全對中國更為重要。“因為安全的風(fēng)險不僅來(lái)自于云計算本身,還來(lái)自于我國在云數據中心的關(guān)鍵系統和設備上缺乏自主控制權,缺少可信、可控的安全運行環(huán)境。”沈昌祥解釋說(shuō),“這樣的結果就是容易遭受‘心臟出血’漏洞、系統癱瘓乃至針對性攻擊等安全威脅。可以想象一旦承載著(zhù)有關(guān)國計民生重要信息的系統被外部勢力惡意攻擊,甚至成為網(wǎng)絡(luò )戰的攻擊目標,其后果將不堪設想。”
在云安全領(lǐng)域,以浪潮為代表的一批公司切實(shí)推動(dòng)了可信計算技術(shù)的應用,已經(jīng)實(shí)現了國際TPM2.0標準版本,以及中國商用密碼標準算法SM2,SM3和SM4在云計算中的實(shí)際應用,帶動(dòng)整個(gè)云數據中心安全產(chǎn)業(yè)鏈發(fā)展的進(jìn)程。
