与信息技术的不断发展一样,攻击和安全技术也在不断演进。随着云计算和软件定义的到来,企业获得或者组织IT资源的方式被大大简化,但复杂性被转移到后端的云数据中心,这也意味着新IT的安全形势更加错综复杂;与此同时,出于政治利益、经济利益目的的攻击也日益猖獗,这对企业造成严重的安全威胁。面对这样的局面,一些企业已经设置CSO(首席安全官)来统筹治理企业的安全。毫无疑问,CSO/CIO在信息安全上无法找到一劳永逸的办法,但有没有相对简单的解决方案让企业的云计算之旅不用步步惊心?可信计算成为了问题的答案,将这一技术很好地演绎的,是我国的浪潮集团。
在浪潮集团日前的2014“Inspur World”浪潮技术与应用峰会期间,浪潮集团信息安全事业部总经理张东,浪潮信息安全事业部副总经理蔡一兵,和浪潮信息安全事业部产品经理刘刚接受了DOIT记者的采访,分享了浪潮对云计算和软件定义时代的信息安全技术趋势的判断,并介绍了浪潮针对云基础架构安全方面的努力和已经取得的成果,以及未来的战略方向。
在浪潮看来,云应用软件漏洞风险、云基础平台风险、云服务访问失控风险、云数据泄密风险、内部人员非法操作和APT攻击风险等云数据中心安全风险,已成为制约新一代信息系统建设瓶颈,但我们基于可信技术的应用,能够从计算架构的根源上解决云数据中心面临的物理主机、虚拟主机、软件定义的计算存储服务的安全问题,终结以往被动防护的历史。
浪潮集团信息安全事业部总经理张东,浪潮信息安全事业部副总经理蔡一兵,和浪潮信息安全事业部产品经理刘刚接受了DOIT记者的采访
安全成为新一代信息系统建设的瓶颈
从数字来看,目前我国的云数据中心建设已进入实质性建设阶段,各行业及各大企业的业务和数据正在逐步汇集到云数据中心。据GE估计,云数据处理中心的需求将每两年翻一倍,到2020年,云数据中心的数量会增长40倍。
然而,安全正在成为拖后腿的因素。浪潮集团信息安全事业部总经理张东指出,云数据中心安全技术远滞后于云计算和大数据建设发展。
从宏观角度来看,信息安全需要自主可控作为保障,这也是我国政府近两年力推国产化的直接原因,但整个信息技术体系的国产化并非一朝一夕可以完成的,因而微观系统的安全可信显得尤为重要。
就云计算而言,其核心技术是基础架构的虚拟化,包括KVM、VMware、Hyper-V将单台物理机分割为多台虚拟化的方式,和分布式计算Hadoop把连接的物理主机聚合形成高可靠性的存储的方式。不论何种方式,安全的形势已全然不同以往,一个云主机的沦陷,都意味着全局资源处在威胁之中,换言之,传统物理机器计算体系架构的缺陷在云主机体系中被放大了,这就是最难解决的计算体系架构自身安全性的问题。
传统的攻击方式涵盖服务器固件、硬件、OS、应用等层面,而虚拟化的引入还带来了VMM篡改、Guest OS镜像篡改、主机租户攻击等新型威胁。确实有一些安全厂商已经在和VMware合作进行一些安全解决方案的更新,但我们并未看到针对云数据中心的安全领域有突破性的进展,更不用说有能够统领全局的安全方案。浪潮认为,传统安全防护很难防卫针对云主机的以“Guest OS镜像篡改”、“主机租户攻击”和“虚拟机篡改”为目的的恶意威胁。
张东的团队正是面对这样的形势,聚焦于云主机领域,致力于消除企业业务向云上迁移时所面临的安全风险。
可信技术从计算架构层面杜绝风险
云计算承诺的好处,就是让用户无需理会IT背后的复杂性灵活弹性地扩展资源,安全也应该有一颗简单的心,才不算违背云计算的初衷。张东表示,在云计算环境下给用户提供一个安全可信的环境,整合了操作系统虚拟化,用户只要把自己的应用部署上去就行,这就是浪潮思考的问题。这样,用户既能获得云基础设施的安全,又不用做太多的安全管理或者配置。
构建可信计算环境,相对于网络边界和网络传输,浪潮的重心在计算安全。作为计算存储和虚拟化的整体解决方案供应商,它在这一块更容易形成优势。而且可信计算更容易和底层硬件整合,和操作系统、应用整合则会影响原来的体系结构,还遇到相互之间怎么限制的问题。
据蔡一兵介绍,除了通过自主可控提供可信的安全感觉,在可信的技术层面,浪潮致力于计算机体系架构缺陷。他表示,解决计算机体系架构缺陷,最核心的技术是完整性的度量。可信计算基于哈希算法解决完整性的问题。也就是说,当病毒或木马修改用户的文件,可信计算通过完整性度量的方式能够发现这种改动。即便是获得合法授权的人想要做一些非法的事情,这种方式也可以轻松发现,传统的应用层扫描的方式则不能。完整性度量的机制在恶意的代码或者恶意的攻击之前启动,因而能够很好地解决计算机破坏机理性的问题。
可信计算技术要形成,产业中间有很多环节,合作形成生态的合作圈一起推动是王道。浪潮现在跟武汉大学、中科信科所在国家863、973里面有技术层面的合作。在产业层面的合作,浪潮有安全主机产业联盟,联盟中包括了国内科技和安全厂商。此外,浪潮也和客户进行合作,以解决不同行业客户的安全需求的差异性。
再好的技术也需要形成产品解决方案才能让客户受益。基于可信技术,浪潮在大会上推出了国内首款云主机安全产品解决方案。据悉,浪潮云主机安全可信关键技术,融合了可信计算、操作系统加固、虚拟计算安全等技术,以可信芯片为根,构建链接固件、VMM、Guest OS和上层应用的软硬一体化信任链,同时结合虚拟化加固、虚拟网络控制、操作系统加固等安全手段,应对云主机威胁。
据悉,基于这样的理念,浪潮已经为山东省某行业搭建了云安全防御基础框架,在云主机安全可信、云服务受控访问、云安全感知与服务等方面初步形成方案和应用能力。
值得一提的是,浪潮在提供高度集成的一体化整体解决方案满足客户高等级安全需求的同时,也单独提供可信服务器、操作系统加固等产品,灵活地满足用户不同的实际需求,但整体解决方案会有一些优化设计,包括安全性、资源各方面都会加强。
1.0版本的云主机安全可信解决方案支持Xen,但下一步浪潮计划支持KVM,并且还要和云海OS平台深度融合。浪潮还表示,未来发展到软件定义的架构,安全还要变化,方案也会跟着演进。