病毒凶猛,企业的云安全谁来守护?丨科技云 · 视角

肆虐全球的病毒攻击,频繁开启的高危事件预警,让云服务的安全问题面临着空前的挑战。安全警钟敲响之时,呼之欲出的是企业对云安全的顾虑。

对于网络安全界来说,2017年显然很不太平。

2017年5月,勒索病毒“WannaCry”肆虐全球,6月初“暗云Ⅲ”变种木马感染国内数百万用户,6月底勒索病毒“Petya”席卷欧洲,10月底新型勒索病毒“Ransom/BadRabbit”侵袭欧美多个国家。接踵而至的大规模全球性病毒危机,让2017年的网络安全界“有点忙”。

这一系列极具破坏性的病毒,不由得让人想起10年前的“熊猫烧香”病毒,其破坏程度至今令大众记忆犹新。今年的反病毒战役再次回归大众视线,无论是攻击的频次、力度还是攻击的隐秘程度,几乎令网络安全遭遇了史上最严酷的狙击战。

值得注意的是,“WannaCry”勒索病毒虽是2017年上半年最活跃,影响最大的病毒,但也仅在敲诈类病毒总量中排第四,最多的是带有感染传播方式的PolyRansom。网络病毒正在以新的形式卷土重来,由此也为当前的互联网安全行业敲响了警钟。

随着云计算在中国逐渐落地,企业持续将IT基础设施云化并将业务向云迁移的速度将越来越快。面对云安全事件数量的显著增加,我们不禁要问到底是病毒太凶猛,还是网络安全行业急需升级,我们该如何来守护企业的云安全?

云时代网络攻击的新特征

据不完全统计,全球因互联网安全问题而造成的损失达1140亿美元,而中国每年遭受的直接损失高达250亿美元。

针对云的攻击和渗透日新月异,企业也已认识到系统安全的重要性,逐渐加大在云安全领域的投资。然而,云计算的复杂性导致了安全防护的难度急剧上升。

首当其冲的是云计算带来了安全边界的变化,基于云计算、大数据、人工智能等各类新应用的出现,彻底将企业的安全边界扩展到了企业内网之外。当物联网时代来临,生活中无处不在的智能设备与云数据中心紧密连接,万物互联将进一步模糊安全的边界。过去基于传统网络划分安全域,在出口上堆叠防火墙等防御设备的时代已经不复存在。

由于企业面对的攻击面不断扩大,暴露出了更多信息安全漏洞,因此黑客利用已知和未知安全漏洞发动大型网络攻击的趋势还将继续蔓延。由此带来的一个显著变化,即是高级复杂的网络攻击的常态化。

从今年一系列的勒索病毒、变种木马的爆发,可以看到网络攻击越来越具备组织性、隐蔽性,其技术手段也变得更加复杂。同时,对于安全漏洞的利用速度也非常快。

事实上,面对这种隐蔽性极强的攻击,普通的杀毒软件和安全防御手段,已经很难去检测和防护。更不用说面对云环境中动态变化的问题,静态的部署和策略配置基本无效,安全也要随着云的变化而进行动态调整。

换句话说,云时代的网络攻击面不断扩大,手段也越来越复杂,云安全必定将不同于传统的网络安全防护,其安全理念和技术手段需要同步升级。

云安全应对策略的升级

在云环境下,由于系统的复杂性和云上应用的多样性,仅依靠防御的建设远远不够。因此,Gartner建议企业不要用分散的安全技术来应对多样化的安全需求,需要体系化的建设网络、终端、应用的全方位感知能力,在检测、响应、预测方面持续投入,并降低防御投入。

其实针对企业应该如何应对多样化的安全需求,业界专家也展开过深入讨论。浪潮安全技术部研发总监刘刚认为,可以从四个层面来思考企业安全策略的升级:

第一,从国家层面来看,核心软硬件设备的关键技术自主可控是安全的根本;从企业的角度看,建议尽量去采购有安全保障能力的厂商软硬件产品。

刘刚表示,恶意软件一般利用软硬件的漏洞进行攻击,这些安全漏洞往往是在产品的设计、开发、使用、维护过程中产生的,而好的产品供应商可以做到在产品研发和交付各个环节采取安全措施,尽可能减少产品安全漏洞,同时,一旦受到攻击也能提供及时的漏洞修复和应急响应措施,从而在根源上保障IT安全。

第二,在安全理念上,建议采用最小化安全策略。这一点在浪潮主机安全增强系统SSR上体现得尤为明显,可以说是构建最小化安全计算环境的实践代表。

浪潮SSR具备主动防御策略,即使恶意代码利用漏洞获取了系统的权限,也无法破坏系统文件和向系统中植入恶意代码。同时,在操作系统内核层实现了安全标记和强制访问控制机制,与用户系统自身的自主访问控制相融合,白名单控制技术将合法与不合法的行为区分开,从而实现安全与应用的平衡。

第三,在最小化防护策略的基础上,进一步监控系统异常行为。在基于异常行为监控的过程中,为了防止误拦截,先跟踪操作的轨迹,当真正能识别轨迹是一个恶意行为时,,安全系统才将其判定为恶意软件,并从后续的操作进行拦截,可以有效防止已知和未知恶意代码的入侵。当然,监控的前提是有多层防御措施,保证这些恶意软件不会对系统安全性真正造成威胁。

最后,基于威胁情报的态势感知和检测预警,也是目前业界非常关注的方向。众所周知,企业的安全系统从发现威胁,到检测威胁,再到安全响应,环节时间足够短才能保证IT安全,整个过程拼的是发现和响应的速度,这对于云平台这种大型复杂系统尤为重要。当企业不能对威胁进行100%防御的时候,态势感知就变得尤为重要。

所谓态势感知,是能够全面感知网络安全威胁态势、洞悉网络及应用运行健康状态,及时发现各种攻击威胁与异常,从而支撑有效的安全决策和响应。同时,态势感知还能够建立安全预警机制,来完善风险控制、应急响应和整体安全防护的水平。

实际上,云计算、大数据和AI的发展,为态势感知创造了理想的计算平台,如果作为态势感知数据基础的威胁情报能及时地共享到整个产业,网络安全防范的及时性也会相应提高。

浪潮在智慧计算方面提供了丰富的产品和解决方案,并正在为百度、阿里、腾讯、奇虎360等中国人工智能企业提供协处理加速服务器和Caffe-MPI软件、算法优化,已占据中国AI计算80%以上的市场份额。但在威胁情报的共享机制上,刘刚表示,目前业界与国外还有一定差距,亟待整个产业界的通力合作。

国内云安全的实践

云的引入,对现行的IT技术和IT管理都产生了深刻影响。Gartner数据表明,全球云安全服务将保持强劲增长势头,在2017年达到59亿美元,相比2016年增长21%,预计在2020年将接近90亿美元。

针对全球云安全服务的快速增长可能给中国市场带来的影响,Gartner认为中国大型企业对于公有云的使用仍然处在初期探索与试验阶段,中国大型传统企业主要使用自有数据中心,通过物理隔离达到信息安全的要求,对匹配业务发展数据安全管理能力建设程度不高,偏重安全设备资产内投入与安全制度文档建设。

这番话道出了中国传统企业IT架构的诟病以及安全理念的落后。当很多传统企业想通过上云来试图拥抱新的业务模式时,会发现面临非常大的困难,私有云和混合云往往成为现阶段大型传统企业的首选。

相比传统数据中心,云数据中心环境无疑更加复杂,如何支撑这些复杂场景下的安全,以下三个维度值得关注:

首先,云计算环境下,不再像传统网络中的物理边界那样清晰、明确。如果继续基于物理安全域/安全边界的防护机制,将无法在虚拟化环境中找到防护的“边界”。

其次,云数据中心,特别是企业私有云环境中的设备和系统多来自众多不同的品牌,因此,部署的云安全解决方案,要兼容各种系统、设备,处理好各种对接问题,否则无法满足实践中的真实需求。

同时,在云计算环境中,基础设施、计算资源、系统架构都可能随着业务需求的变化而不断发生动态的变化和调整,这无疑对IT管理提出了很高的要求。若安全管理不能相应地做到可视化管理,企业私有云环境无法得到更佳的安全防护。

针对企业私有云安全的部署,刘刚直言,“安全不是买了什么样的设备或者软件就能抵御什么样的攻击,安全其实是一种能力,是发生了威胁能够快速去应对的能力,而这种能力主要体现在安全服务的能力上。”

刘刚以一个具体的例子,介绍了浪潮在云安全实践中总结出的可行性思路和方法:在为某警务云建设云安全体系的过程中,一是通过部署安全资源池,形成警务云在云网络、云主机、云应用、云数据、云运维等各层面的安全屏障;二是为警务云构建了云安全管理平台,不仅实现了来自云安全资源池各层次安全防护的日志采集与分析,同时与云安全设施和传统安全设备协作,实现了面向警务云的安全可视平台与态势感知,为用户感知安全和决策安全提供了非常有力的数据支撑。

事实上,浪潮InCloud Security云安全体系提供给用户的即是安全服务的能力。一方面,从云平台安全、虚拟化安全、云租户安全、云运维安全、云安全管理五个维度提供安全防御能力,构建从物理层到应用层的安全;另一方面,还包括基于“云图计划”构建的云安全生态,携手业界专业安全厂共同构建完整的云端安全防御体系。

对此刘刚表示,基于云平台的开放性和复杂性,无论企业是出于构建全防御体系还是未来扩容系统和设备的考虑,云安全生态也是企业选择云安全服务商的重要考量因素。

当云计算被更广泛的使用,未来爆发大规模云安全事件的风险也将越来越大。安全最终是由业务和应用驱动的,未来能否形成更安全、敏捷、经济的下一代云平台安全体系,还需要产业界进一步的实践和探索。

【科技云报道原创】

转载请注明“科技云报道”并附本文链接