云计算市场近几年的迅猛发展,使得越来越多的企业对云计算的认可度不断提高,这是得益于云计算确实给企业云业务所带来了便捷与高效等利好。与此同时,资本市场对于云计算市场也相对比较热衷。
但随着云计算行业的发展,除了基本的节点、带宽、价格等备受企业关注的因素外,云计算服务商的安全性也成为各方关注的焦点。尤其是众多企业将任务关键型应用程序和相关的数据逐步上云,如此一来,云的安全性比以往任何时候都显得更为重要。云计算的安全问题,也开始从被动安全逐渐上升到主动安全模式,不仅要从备份恢复的常规安全思维里跳脱出,还要有全面和快速的安全危机的应对处理能力。
云计算的安全性被重新定义 安全专家+投资人共同看好
对此,云计算的安全专家万涛表示,目前安全团队最大的挑战是内容安全,这个内容超越了传统单纯黑客层面的对抗,包括像编解码、内容、鉴黄,用户隐私,范畴划分得更大。
而持同样观点的还有资深的投资人,汇聚和光资本的创始人包江华就曾说过:“云计算分为好几层,而投资机会在各个层面上都有,包括SAAS、PAAS、IAAS,还有架构发生的变化使得安全、运维也会被重新定义,在这个基础上也有很多创新公司的机会。很多IAAS公司也拿到了一些投资,比如前两年的Openstack公司,现在很多Docker公司。包括基础架构这一层的软件定义一切、软件定义网络、软件定义存储,这些公司也有很多拿到了投资,这肯定是一个投资热点。”
行业大咖详细阐释 如何构建云计算公司的安全架构
而身为乐视安全中心总经理的万涛,通过他在实际工作中的经验阐释了如何构建一个完整的云计算安全堡垒。首先,他认为安全团队非常重要,比如他在乐视云安全中心组建了一只“铁军”,这支军队汇聚了来自IBM、360、绿盟、阿里等知名企业的优秀安全人才,提供包括云清洗、云WAF、云扫描、云主机安全卫士、安全大数据AI和移动安全的全栈安全+金融创新模式的云安全产品与服务,可为客户提供安全基础保险、托管式的简洁保障与业务增值。
为此,万涛特别打造了一个云清洗防护系统,其基于出色的带宽和计算资源以及基于大数据平台的应用,可以从时间和空间上增强清洗的性能,提升防护效果。云清洗系统通过智能流量调度系统将访问到原有服务器的流量调度到具有更大防护能力清洗节点进行清洗,然后把正常流量再回源到服务器,此过程中如有加速需求的用户可以在清洗节点实现缓存加速。
在流量清洗方面,万涛说已经过了原有拼单点能力的时代,更好的清洗效果需要专业化团队并利用最新的技术,协同具有清洗能力的IDC,CDN,运营商等友商共同来实现。乐视云计算清洗产品正是基于自身多年来对网络安全产品长期的研发经验,利用自身的计算和带宽资源,也业界友商强强联手,来满足不同应用场景的海量攻击流量的清洗防护需求。
打造3大应用 保证客户的安全运行
除了强大清晰系统,万涛团队还为乐视云打造了3大应用:WAF-web应用防火墙、Web安全扫描产品、云主机安全卫士产品。
应用1:乐视云WAF依托于乐视云计算的生态环境,基于智能DNS调度系统、Nginx反向代理及OpenResty实现的云服务模式Web应用防护系统。乐视云WAF产品主要由3部分组成:网站安全攻击防护系统、规则配置集中管理及同步下发系统、安全大数据分析系统。具有稳定快速、防护能力强大、大数据分析等特点。实时操作时,可以通过多线路接入,仅用毫秒级就可以快速响应。而且数百条安全防护规则、覆盖常见的Web攻击手段及行为,专业的攻防团队每周更新防护规则,规则误报低。0day漏洞热补丁修复24小时内全球同步。大数据的学习模型更可以降低误报及漏报。
应用2:乐视Web安全扫描系统包括主动扫描系统及被动扫描系统,其中主动扫描基于端口扫描及网络爬虫的方式对目前网络进行信息搜集与探测,并通过安全检测系统对信息中可能存在的安全问题进行检测。被动扫描系统则是通过流量镜像分析的方式提取出流量中的HTTP请求信息,并对信息中可能存在的安全问题进行检测。具有分布式部署、双引擎扫描、覆盖面广的安全检测、扫描报告展示(含专业修复指引)等特点。
应用3:乐视主机卫士安全产品采用的是Gartner提出的自适应安全架构(AdaptiveSecurityArchitecture),能够在复杂和变化的环境下有效的抵御高级别攻击。本产品从传统安全产品的防火墙视角转移到业务系统内部,强调从也业务内部自内而外构建安全体系;并且将安全从传统的安全防护与应急响应转变成一种持续监控和响应的过程。本产品除自身的安全功能外,可以方便的集成其他的安全插件或产品,如:抗DDOS、WAF、身份认证等,从而从多个维度持续的保护企业安全。
云计算时代的安全挑战严峻用户安全掌握在自己手中
云计算时代所面临的安全挑战并不比传统安全所面临的问题要少,甚至于相较之下更加复杂。而知道创宇高级安全顾问王利伟则认为:“尽管企业在采用云时,很多业务的交付都变成了由云服务提供商来交付,但最终的安全责任却并没有完全转移出去,最终的安全责任仍旧把握在用户自己手中。” 因为云供应商虽然应该为正在传输和静态数据提供加密,但这往往不够。最终,保护客户业务数据的责任不在于云提供商,而是公司自身确保没有数据泄漏。
他说,在某些情况下,企业可能需要采取行动来解决供应商保护数据的方式——是否可以通过内部保护来增加云提供商所提供的服务,或者可能转向另一个供应商以获得额外的安全性。值得注意的是,虽然安全性很重要,但要警惕太多或是错位的安全性可能会妨碍用户体验甚至对用户体验造成负面影响,因此寻找平衡也是重要的。
即便云计算的安全性已经变得非常重要,但在中国还没有完全重视起来。汇聚和光资本的创始人包江华说,在中国真正做云安全的公司真是难觅。安全公司在硅谷,每个细分行业都有一堆安全公司保护着云安全。而在中国这些公司寥寥无几。他认为要发展SAAS安全一定要跟上,否则就无法谈论云的问题。云在美国,SAAS应用非常广泛,给SAAS配套的安全企业也非常多,很好的保护了它的安全。所以在中国的云计算企业想要获得投资人的青睐,除了考虑技术、产品、团队、市场等因素外,也需要将安全建设提上日程。