随着云计算在各个领域的尝试与落地,基于云计算的安全服务已经从概念阶段过渡到了完善和推广阶段。在此形势下,国内三大运营商纷纷开展云安全实践。中国移动的“大云”、中国电信的DDoS攻击防御业务平台和安全快车道业务,都是云计算及云安全的有益实践,开辟了新的业务模式。中国联通同样从2009年就开始云计算的实践,对云安全的研究也在不断深入。
云安全技术让互联网更安全
现在通常讨论的云安全大多指云计算技术在安全领域的应用。云安全通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。整个互联网,变成了一个超级大的“杀毒软件”。
云安全技术是P2P技术、网格技术、云计算技术等分布式计算技术混合发展、自然演化的结果。云安全的概念提出后,曾引起了广泛的争议,许多人认为它是伪命题。但事实胜于雄辩,云安全的发展“像一阵风”,瑞星、趋势、卡巴斯基、迈克菲、赛门铁克、江民科技、金山、360安全卫士等都推出了云安全解决方案。
未来杀毒软件将无法有效地处理日益增多的恶意程序。来自互联网的主要威胁正在由电脑病毒转向恶意程序及木马,在这样的情况下,采用的特征库判别法显然已经过时。云安全技术应用后,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。
云计算、云安全发展面临多挑战
然而,企业开展云计算面临的安全威胁非常多,主要包括以下四个方面。首先,大量迅猛涌现的Web安全漏洞,与传统的C/S系统的安全漏洞相比,多客户、虚拟化、动态、业务逻辑服务复杂、用户参与等这些云服务的特点对网络安全来说意味着巨大的挑战,甚至是灾难。其次是拒绝服务攻击DDoS。在云服务的技术环境中,企业中的关键核心数据、服务离开了企业网,迁移到了云服务中心,更多的应用和集成业务开始依靠互联网,拒绝服务带来的后果和破坏将会明显地超过传统的企业网环境。再次内部的数据泄漏和滥用。企业的重要数据和业务应用处于云服务提供商的IT系统中,如何保证云服务商自身内部的安全管理,如何避免云计算环境中多客户共存带来的潜在风险,这些都成为云计算环境下用户的最严肃的安全顾虑或挑战之一。最后,潜在的合同纠纷与法律诉讼。云服务合同、服务商的SLA和IT流程、安全策略、事件处理与分析等都可能存在不完善;另外,虚拟化带来的物理位置不确定性和国际相关法律法规的复杂性,都使得潜在的合同纠纷和法律诉讼成为利用云服务的重大挑战。
换一个角度看,对于开展云安全业务的电信运营商而言,则会面临两个非常现实的问题和挑战:一是如何与客户签订适当而合理的SLA协议;二是如何规避前向收费价格战,这不仅仅是一个商业模式(business model)的问题,无论采用哪一种收费模式(pay per use或pay per month),都存在一个前向收益的挑战——用户更倾向于价格便宜的服务。如何说服用户购买一个更好而不是更便宜的服务,是电信运营商必须仔细思考的。
