云时代应对虚拟化的挑战_云计算_电信

云时代应对虚拟化的挑战

2011/04/02

　　云时代的到来虽然为企业信息安全水平的提高提供了更为有利的条件，但并不意味着云计算就没有给企业安全带来挑战。事实上，云计算时代，信息安全面临着一些新的威胁，其中最为突出的就是虚拟化。

　　云计算是IT 产业的大趋势，这一点已经成为人们的共识。不过，要让用户现在就向云世界迁移还面临相当多的问题，其中对安全方面的担心是云计算落地的最大阻力之一。那么，我们应该如何看待云计算对信息安全的挑战，如何着手保证云计算的安全呢？

　　“云”化安全产品更可靠

　　“我认为，云计算时代的到来有助于改善信息安全的状况，更利于企业保证信息的安全。” 赛门铁克首席信息安全技术顾问林育民说。

　　林育民认为，在云时代，数据和应用程序都保存在“ 云” 端，由云服务供应商或内部私有云管理部门提供技术支持，这种集中管控对信息的安全是有利的。内部私有云比多个业务部门自行运维系统，来得更安全、经济且有效率；此外，云服务提供商往往比大多数企业自己更有能力做好企业信息安全的保障工作。这是因为云服务商更有资金实力去请有足够经验的安全人员，来提供7×24 小时的安全保护；而且由云服务商提供安全服务更经济。另外，云服务商为展现自身的信息安全管理能力，大多主动遵循相关规范（如ISO 270001、SAS 70 Type2 等）并积极通过国际标准组织认可的独立第三方认证，且有独立第三方对云服务商进行审计和监管，这客观上也促进了云服务提供商改进自己的安全及服务水平。

　　“不管是技术实力还是资金实力，云服务商的云环境其安全水平都要好于企业自己的IT 环境；而且云服务商业务持续增长与永续经营中重要的关键就是信任二字。”林育民说。

　　当然，用户对数据安全和隐私方面的担心也并不是多余的。要消除用户的担心，首先是云服务商要提升自己的品牌信任度，进而提升用户的信心，让用户愿意将信息交付给第三方。

　　林育民解释说，已有许多全球500 强公司开始采用各类SaaS 云服务，因为这些云服务商已建立完善的安全制度及品牌形象，取得了用户信任。比如，赛门铁克的CRM 就选用了Saleforce.com 公司的云服务。在中国市场，云服务提供商仍在完善云环境的安全防护与建立可信的品牌形象，中国用户还不太放心将自己的敏感信息保存在第三方，所以国内目前仍着重于私有云的建设；但随着安全制度与法规逐步的完善、安全技术的进步，用户对公有云服务的疑虑将逐渐降低，未来公有云服务将在国内逐步兴起。

　　另外，安全产品的“云”化也会提升安全产品的功能。根据赛门铁克的统计，2009 年新发现的恶意代码中，有57% 仅出现在单一计算机中。这意味着传统被动式病毒签名扫描已无法有效应对新兴的安全威胁；而近年来新提出的主动式防御概念，对于采用社交工程技术的欺诈软件也无法有效应对。随着云计算技术的出现，安全防御不只从被动转为主动，更是从主动转为预测式防御，安全防护厂商不需要分析恶意代码样本即可预测其是否可能为恶意代码，大幅缩短了用户的防护空窗。此外，由于云安全服务厂商通过云计算技术对流量做实时分析，可提供前所未有的安全防护能力。以赛门铁克云端信息安全服务为例，该服务可对用户做出100% 防护已知与未知的承诺，若是违反服务水平协议，将对用户做出赔偿。

　　应对虚拟化挑战

　　云时代的到来虽然为企业信息安全水平的提高提供了更为有利的条件，但并不意味着云计算就没有给企业安全带来挑战。事实上，云计算时代，信息安全面临着一些新的威胁，其中最为突出的就是虚拟化。

　　据林育民介绍，作为云计算基础的虚拟化的确给安全带来很大的挑战：因为安全厂商传统的产品都是针对物理服务器，可是到了虚拟化环境中，很多状况发生了改变。

　　这些挑战主要体现在以下几个方面：在虚拟化的世界里，服务器就是一个个文件、而不再是一个独立的服务器，这个服务器（或者说文件）很容易被别人带走，风险更高了；当很多虚拟机运行在物理服务器上时，这些虚拟服务器的管理员的工作往往也接手了虚拟化网络环境的管理，这就意味着管理员的权限增加了，需要重新规范管理员的权限；虚拟化平台（Hypervisor）的引入可能成为新的安全漏洞，一旦黑客攻破了它，就意味着黑客将掌控虚拟化平台上运行的所有虚拟机；此外，虚拟机的镜像管理也可能成为新的安全漏洞。比如，在两次快照之间升级了系统后，由于某些原因可能需要退回到前一个没有进行系统升级的快照，此时，系统升级就可能被疏忽掉。

　　实际上，保护虚拟化环境的安全已经成为了不少安全厂商的市场重点。比如，赛门铁克就围绕虚拟化环境的安全推出了很多安全产品，包括对管理员在虚拟化环境中的权限进行管控与审计的工具，以及通过部署专门的安全虚拟机来保护各个虚拟机的安全，从而避免在每个虚拟机上都部署一套安全产品，减少防护空窗并提升虚拟环境运作效率。另外，还有帮助企业对虚拟化环境进行合规性检查的各种工具等。

　　“总体而言，云计算给信息安全带来的既有有利因素、也有不利因素，最终的效果则取决于我们是否能发挥它的优势而规避其劣势。”林育民说。

信息安全