云時代需要與之匹配的安全解決方案�。單點的、被動的傳統(tǒng)安全方案無法滿足云計算虛擬����、動態(tài)、異構(gòu)的環(huán)境�。正是基于這樣的考慮,浪潮在2014“Inspur World”浪潮技術(shù)與應用峰會上宣布推出云主機安全產(chǎn)品解決方案���,以可信服務器為根基��,通過構(gòu)建從可信服務器�����、虛擬化安全��、操作系統(tǒng)加固到應用容器安全的完整“信任鏈”����,實現(xiàn)完整、主動的安全��。
“老三樣”解決不了新問題
“當前我國安全防護的現(xiàn)狀是仍然傾向老三樣�����,防火墻�����、入侵監(jiān)測��、防病毒����。” 國家信息化專家咨詢委員會委員、中國工程院院士沈昌祥在浪潮Inspur World大會云數(shù)據(jù)中心安全分論壇表示����,云安全的發(fā)展遠遠滯后于云計算和大數(shù)據(jù)的發(fā)展。
國家信息化專家咨詢委員會委員、中國工程院院士沈昌祥
與傳統(tǒng)數(shù)據(jù)中心相比�����,云數(shù)據(jù)中心存在新的安全風險���。這些風險包括新的技術(shù)和應用模式。比如針對虛擬化的Rootkit攻擊�,一旦被攻破將波及整個業(yè)務系統(tǒng),而不僅是單臺服務器暴露在危險之中�����,已經(jīng)實現(xiàn)虛擬化的數(shù)據(jù)和資源將會產(chǎn)生連帶風險�����。
此外����,傳統(tǒng)安全威脅也在云時代被放大,云計算平臺是一個通用的平臺����,其上可以運行多種多樣的網(wǎng)絡(luò)應用,因此也可能帶來各種不同的安全威脅。這幾年最危險和最隱蔽的高級持續(xù)性威脅攻擊(APT)也瞄準了云數(shù)據(jù)中心�,通過鏈路層、網(wǎng)絡(luò)層����、系統(tǒng)層、應用層(Web�����、數(shù)據(jù)庫等)等各個層面�,把擁有大量關(guān)鍵業(yè)務數(shù)據(jù)的云主機作為攻擊目標。
那么�,云時代的需要什么樣的安全保護?
基于可信計算構(gòu)建“信任鏈”
“可信計算改變了傳統(tǒng)的‘封堵查殺’等‘被動應對’的防護模式,形成‘主動防御’能力�����,滿足云數(shù)據(jù)中心安全需求����。” 沈昌祥為云安全指明了方向,并且從應用效果來看���,“已經(jīng)證明可信計算對于國內(nèi)多類計算機設(shè)備和操作系統(tǒng)來說�����,是完全可行的有效的網(wǎng)絡(luò)安全技術(shù)和管理措施����。”
可信計算是指在計算的同時進行安全防護,計算全程可測可控��,不被干擾�����。具有身份識別����、狀態(tài)度量��、保密存儲等功能���。其核心思想是通過在硬件上建立計算資源節(jié)點和可信保護節(jié)點并行結(jié)構(gòu)����,從平臺加電開始����,到應用程序的執(zhí)行��,構(gòu)建完整的信任鏈����。
完整的信任鏈在可信計算中最重要的一環(huán)����。華中科技大學計算機學院的鄒德清教授指出:“在云系統(tǒng)安全構(gòu)建上,需要分析云系統(tǒng)動態(tài)復雜性特征���,研究面向海量實體復雜信任關(guān)系的信任模型�、信任基�����、信任度量和判斷等�。”即達到體系結(jié)構(gòu)、操作行為��、資源配置��、數(shù)據(jù)存儲��、策略管理上的整體可信。
華中科技大學計算機學院鄒德清教授
構(gòu)建信任鏈的優(yōu)勢在于����,從安全技術(shù)上講,其將可信計算從單機擴展到虛擬化和分布式結(jié)算���,保證了云數(shù)據(jù)中心中各種行為的可控性��,此外云主機系統(tǒng)在數(shù)據(jù)處理和業(yè)務運行中的完整性�����、保密性和可用性也可以得到充分保障;而從管理措施上講,云主機安全系統(tǒng)采用白名單機制�,建立了嚴格的準入制度,并在運行中一級測量一級��,一級信任一級��,從而實現(xiàn)云計算管理的可控和安全�。
以可信計算為基礎(chǔ),構(gòu)建完整的信任鏈是解決云時代安全的必由之路�����。浪潮云主機安全產(chǎn)品解決方案正是踏準時代的節(jié)拍而來。浪潮集團信息安全事業(yè)部副總經(jīng)理蔡一兵博士表示:“浪潮云主機安全產(chǎn)品解決方案以可信服務器為根基����,構(gòu)建鏈接固件、虛擬主機���、虛擬操作系統(tǒng)和上層應用的軟硬一體化‘信任鏈’���,其底層是自主可控,中間是可信�,上層是彈性的安全服務,并建立常態(tài)的安全管理機制�����。” 可信計算之外�����,該方案還融合了操作系統(tǒng)加固���、虛擬化加固��、虛擬網(wǎng)絡(luò)控制等安全技術(shù)�����,可以全面解決云主機面臨的傳統(tǒng)攻擊以及‘Guest OS鏡像篡改’���、‘租戶攻擊’和‘虛擬機篡改’等新型風險����。
浪潮集團信息安全事業(yè)部副總經(jīng)理蔡一兵博士
中國亟需自主可控云安全
云安全對中國更為重要��。“因為安全的風險不僅來自于云計算本身�,還來自于我國在云數(shù)據(jù)中心的關(guān)鍵系統(tǒng)和設(shè)備上缺乏自主控制權(quán),缺少可信���、可控的安全運行環(huán)境。”沈昌祥解釋說���,“這樣的結(jié)果就是容易遭受‘心臟出血’漏洞����、系統(tǒng)癱瘓乃至針對性攻擊等安全威脅�����。可以想象一旦承載著有關(guān)國計民生重要信息的系統(tǒng)被外部勢力惡意攻擊��,甚至成為網(wǎng)絡(luò)戰(zhàn)的攻擊目標����,其后果將不堪設(shè)想。”
在云安全領(lǐng)域��,以浪潮為代表的一批公司切實推動了可信計算技術(shù)的應用����,已經(jīng)實現(xiàn)了國際TPM2.0標準版本,以及中國商用密碼標準算法SM2�,SM3和SM4在云計算中的實際應用,帶動整個云數(shù)據(jù)中心安全產(chǎn)業(yè)鏈發(fā)展的進程�����。
