基于云計算的安全服務研究

蓋 玲

(江漢大學 武漢 430056)

基于云計算的安全服務研究

蓋 玲

(江漢大學 武漢 430056)

互聯網應用的迅猛發展豐富和方便了人們的生產生活，亦為入侵者提供了大量的機會。不斷變化和演進的攻擊手段，使得傳統的企業安全防護體系面臨著前所未有的嚴峻挑戰。隨著云計算在各個領域的成功落地，基于云計算的安全服務已經從概念階段過渡到了完善和推廣階段。云安全服務可以很好地解決諸多安全威脅和挑戰，并在包括運營商的很多領域得到廣泛的應用。

云計算；云安全服務；SLA

1 “云”將成為主流

IDC公司的一次市場調查顯示，現階段約11%的被調查企業已經采用了商業化云方案，諸如云計算平臺或云服務，同時約41%正在對云方案進行評估或試用。云計算被廣泛應用于企業運營管理、數據存儲以及日常桌面辦公等諸多方面，類似于Saleforce以及Google App等基于云的應用正在逐漸取代傳統的應用模式，融入到人們實際的生活和工作中。

人們在云計算“元年”之后盤算著今后若干年云計算該如何蓬勃發展的同時，基于云計算的安全服務（cloudbased security service）逐漸浮出水面，越來越多的企業用戶成為服務的受益者。云安全服務的提供商，最初主要是一些專業的安全廠商。近兩年，提供公眾服務的電信運營商也從關注到采納，依托強大的電信網絡資源和營銷優勢，推出了面向企業用戶的一系列基于云計算的安全增值業務。

2 入侵者的攻擊與安全防護

2.1 攻擊的發展和演變

隨著互聯網應用的迅猛發展，基于Web的應用變得異常豐富。“HTTP is the next TCP”突出地表現為用戶對瀏覽器的依賴達到了不可割舍的程度。越來越多的應用系統從C/S架構遷移到B/S架構，在線辦公、線上游戲、網上交易以及即時通信成為趨勢。互聯網提供了前所未有和無以倫比的便利，并最終緊密地融入到人們的日常生產生活之中。積累了巨大財富的互聯網最終造就了越來越多的互聯網富翁，其中也包括入侵者。

入侵者的財富始終伴隨著互聯網用戶的不斷增加和互聯網應用的不斷發展而與日俱增。豐富的互聯網應用客觀上為入侵者提供了充分施展拳腳的廣闊空間，攻擊手段不斷變化和演進。首先，攻擊的目的越來越向應用破壞和信息竊取演變，無論是提供網站服務的服務器端資源還是作為訪問者一方的用戶端資源，都有可能成為入侵者攻擊的目標；其次，攻擊方式也變得越發復雜和五花八門，如利用Web網站和互聯網應用軟件（如IM等）進行網站掛馬、網絡釣魚以及散布流氓軟件等；最后，新的安全威脅和攻擊手段越來越多，攻擊的目標越來越廣泛（從傳統的互聯網資源到工業目標），攻擊傳播和擴散的速度也越來越快。以APT攻擊為例，持續和復雜的攻擊不能不說在一定程度上打擊了防護者的信心，不管采用多么嚴密的防護，在零日攻擊面前，都毫無懸念地敗下陣來。安全威脅的發展和演進帶給最終用戶前所未有的不安。

2.2 防護的挑戰

面對不斷變化的攻擊手段，安全防護也在不斷地變革和演進。從功能相對單一的防火墻到多層次多功能的UTM設備，再到專門用于Web防護的WAF產品；從單純提供流量監控的IDS系統到兼具監控和控制的IPS系統；從基于Flow的流量監測到基于數據包深度分析的DPI系統，安全產品的不斷推陳出新以及針對不同場景和應用的細分，為防護者提供了豐富多樣的部署選擇。

因此，攻防正日益演變為一場殘酷的面對面博弈。遺憾的是，在很多情況下，入侵者和防護者對抗的勝者往往是前者。

首先，互聯網大潮下商業模式的不斷變化，使得企業越來越開放、邊界越來越模糊，傳統靜態的邊界防護模式面對不斷變化的威脅時顯得捉襟見肘。對于一個企業來說，很難說其系統邊界在哪里，特別是采用了諸如云存儲等新興互聯網商業模式的業務，由此帶來應該在哪里部署以及部署什么樣的安全策略等問題。防護面相對于攻擊點來說，其廣闊程度不可同日而語，無疑提高了防護的難度。

其次，不能不承認很多入侵者具備了專業的技能和職業的精神。不管原動力是對經濟利益的追逐，還是對“翻墻”感受的渴望（前者的成分往往大于后者），單純從攻防技能角度上講，在很多成功入侵的案例中，攻擊的一方具有比較明顯的技術優勢。除了技術因素之外，還有更深層面的人的意識問題。一個企業是否具有專業或專職的安全管理人員，以及管理人員自身是否具有充分的安全意識，都是決定企業能否有效防御攻擊的重要甚至決定性因素。

最后，部署在企業用戶現場的安全防護產品、設備的更新和升級能否跟上攻擊者攻擊手段變化的步伐是一個巨大的問號。現階段防護產品仍然普遍依賴于傳統的樣本采集、分析、特征碼生成和分發機制。惡意代碼樣本數量的爆發式增長，直接導致傳統上依賴于特征庫/簽名的防護體系不堪重負。基于特征和簽名識別的靜態檢測方式已經遠遠不能對現階段迅速發展和變化的攻擊手段進行有效防護。此外，如果防護設備對流經的每個數據包都進行深層次的掃描，很可能由于自身處理性能的瓶頸而最先掛掉。以廣泛部署在企業邊界的UTM設備為例，特征庫的更新是否及時直接影響設備的防護效果。此外，可以想象，開啟全部安全防護策略對于UTM設備本身就是一個噩夢。

由此可見，新業務的選擇和開展、人員的安全素質以及設備的防護能力都是影響甚至制約企業能否有效防護安全威脅的重要因素。那么，如何才能規避或者緩解因業務、人員和設備對防護造成的不利影響，或者更直接地說，有什么方法可能幫助企業更好地應對不斷變化和快速發展的攻擊手段呢？至少有一點是明確的，防護手段必須跟上攻擊手段的不斷發展和變化，做到敵變我變，與時俱進，“以不變應萬變”的靜態防護思路已經不能滿足現階段安全防護的要求。

2.3 防護的演進

正像云計算不是偶然，而是人類文明在計算發展過程中，與互聯網技術相結合步入一個嶄新而必經的階段一樣，基于云計算的安全解決方案同樣是互聯網應用、安全威脅與安全防護3方面因素不斷發展、不斷演進和相互作用的必然結果。

什么是云安全？從類別上講，可以分為云自身的安全（security in cloud）和以云的方式提供的安全防護手段（security from cloud）。云自身的安全不是本文的重點，以云的方式提供安全防護手段，換句話說，即向客戶提供基于云計算的安全服務，把云計算的理念應用到安全的規劃、建設和交付中去。眾所周知，云計算最大的優勢在于最大程度地將處于不同物理位置的各種資源邏輯地連接在一起，形成統一的資源/信息池，分布式計算、資源共享和動態伸縮性是云計算最主要的3個特點。從交付的方式上來講，與其他云計算類似，很大程度上是以計量服務的方式提供給最終用戶。

專業的云安全服務較傳統的企業自身防護具有以下優勢。

首先，云安全體系看起來更像是一個保持穩定和自我循環狀態、進行新陳代謝的生態系統，體系中的很多安全防護策略都是自動化和不斷更新的，較傳統體系來說，防護策略的更新不再是以季度、月或周來進行，而是隨時隨地完成。這就從根本上扭轉了“攻快守慢”的問題。

其次，對于企業負責安全管理的人員來說，他所需要做的就是保證部署在企業中的安全防護設備與云安全中心之間的網絡連通性，或者干脆把全部的網絡流量重定向到云安全中心，依托部署在中心的安全設備對流量進行全面檢查和過濾。對于一些特定的應用，如企業門戶/辦公網站，企業的安全管理員可以通過簡單的鼠標操作，購買提供商提供的遠程掃描服務，對其門戶網站進行隨時評估。

最后，企業的防護始終是一個點，而在云安全體系中，安全設備不再是一個相對獨立的“安全孤島”，而是一個個處于完整的安全監控和防護體系之下的傳感器和安全閘門，分布于不同地域的安全終端節點，既是安全防護策略的執行者，也擔當了對最新攻擊行為的采集和反饋工作。及時采集未知的安全攻擊行為和惡意代碼，通過安全專家的分析和研究，將研究成果以更新檢測和防護策略的形式下發到終端節點。與此同時，安全防護策略的調度在云平臺下也更為智能與合理。

3 云安全服務的機遇與風險

3.1 機遇

拋開單純的防護能力優勢，云安全服務在交付上還有很多吸引人的地方，吸引企業用戶訂購的3個主要的非技術層面的原因是：快速、簡單和便宜。其中，省錢是吸引企業用戶的首要因素。根據IDC的調查，超過50%的云計算客戶選擇“云”，是因為“云”相對于傳統部署更便宜。用戶不用購買太多的軟硬件設備就可以實現相應的業務防護需求。其次，省事是打動客戶的一個關鍵因素。與繁瑣的設備上架、軟件配置、設備升級、維護和擴容相比，云安全服務往往只需要企業安全管理員點擊幾下鼠標就可以完成部署。最后，省時不僅僅體現在快速部署即獲得充分和全面的安全防護上，及時發現系統安全隱患并在入侵者利用之前堵上漏洞更是極大降低了事后恢復的時間成本。

對于提供商來說，提供云安全服務的收益和價值體現為3方面。第一，由于云安全服務往往是基于互聯網的，因此可以非常便捷地接觸到客戶，特別是新客戶。在云安全服務的框架下，原則上是不區分網內與網外客戶的。換句話說，A服務提供商完全可以通過云安全服務將B的客戶納入其安全業務覆蓋范圍內。這對于電信運營商尤為具有吸引力。第二，降低業務交付過程中的開銷。基于互聯網的云安全服務的交付成本是很低的，互聯網可達的地方就是可交付的所在。第三，依托差異化服務尋求更多的利潤增長點。云安全服務是依托互聯網開展的增值數據業務，在“一切依托互聯網”的趨勢下，為已投入大量資金用于自身安全建設的企業，提供了將安全變支撐為盈利的新思路和難得的機遇。

3.2 顧慮與風險

任何事物都有好的方面和存在風險的另一個方面，云安全服務亦然。IDC的資料表明，成本和價格因素并不足以影響用戶最終通過采購云安全服務的決策。如何安全地獲取云安全服務以及保證來自“云”的安全能夠滿足其全部的防護要求，同樣是用戶在決策過程中非常關注的方面。

打消用戶在獲取服務過程中有可能造成數據泄露的顧慮，可以依托VPN實現用戶到服務中心間的數據交互。用戶的安全管理人員對服務中心的所有訪問都是通過加密隧道完成的，可以保證訪問過程中數據的保密性。而對于最終用戶和服務提供商都關心的SLA問題，Gartner給出的建議是服務提供商在選擇云安全廠商的時候就要對這個潛在的合作伙伴進行必要的評估，好的合作伙伴和安全產品/技術是業務成功最基本的條件。

云安全服務提供商需要考慮兩個非常現實的問題。一是如何與客戶簽訂適當而合理的SLA協議，這與客戶的擔心類似，提供商往往與第三方安全廠商合作推出云安全服務，提供的是一個運營平臺而并不是安全防護技術和設備，防護效果和設備穩定性都是運營商需要面對的風險；二是如何規避前向收費價格戰，這不僅僅是商業模式的問題，無論采用哪一種收費模式 （pay per use或 pay per month），都存在前向收益的挑戰—用戶更傾向于價格便宜的服務。如何說服用戶購買一個更好而不是更便宜的服務，是服務提供商必須仔細思考的。

對于如何在日益殘酷的競爭中處于主動和領先地位，IDC和Gartner給出了相同的回答——云安全服務不是一個單純的服務項目，而是一整套解決方案。無論是在用戶的客戶端部署終端設備，還是把用戶流量定向到云安全中心，或者通過跨互聯網遠程掃描的方式進行脆弱性核查，相應的專家咨詢、系統加固、現場取證以及事件追查都可以作為供企業選擇的配套服務選項。

4 國外開展情況及前景

從國外的云安全開展案例來看，運營商由于其網絡和渠道優勢，毫無疑問地走在業界的最前面。運營商開展云安全增值服務不是偶然，互聯網的蓬勃發展，加速了運營商從單一的“管道”提供商向綜合服務提供商轉變的進程，與互聯網結合的數據業務成為運營商的核心業務和最主要的利潤增長點。在云計算方面，國外運營商在幾年前就以增值服務的方式推出了基于云的存儲和企業管理 （如CRM）服務。云安全服務作為云計算的一種獨特業務很早就得到了運營商的關注。

事實上，國外運營商以云安全服務的方式提供安全增值業務，似乎不比其他云計算服務晚多少，早在2007年就開始嘗試采用“云”的方式為其用戶提供安全保護服務。例如AT&T公司，從2007年開始與ScanSafe公司合作，推出基于SaaS模式的云安全服務。采用AT&T云安全服務的企業，其上網流量被重定向到部署在數據中心的ScanSafe平臺上。平臺系統對用戶的上網流量進行檢查，保證用戶訪問的網站和諸如電子郵件等的應用是安全的。2010年，NTT Com采用與AT&T完全不同的服務內容和模式，推出商務安全漏洞管理（biz security vulnerability management），向其企業用戶提供遠程脆弱性（漏洞）評估的服務。

正像前文中所闡述的，云安全服務提供商在其商業運營中遇到這樣或那樣的問題。其核心的問題在于客戶信息保護、收費以及云安全服務的交付效果上。一方面，和其他數據業務一樣，“越便宜越好”的邏輯并不完全適用云安全業務，一個豐富而完整的云安全解決方案無論對于服務提供者還是使用者都是收益的最大保證；另一方面，云安全服務是大勢所趨，雖然當前技術和市場上仍存在不少問題和挑戰，但是前途仍舊是光明的。

1 石屹嶸等.云計算在電信IT領域的應用探討.電信科學，2009，25（9）

2 張敏，陳云海，林立宇.電信運營商云計算數據中心的構建分析.電信技術，2009（6）

3 鐘偉彬，周梁月，潘軍彪等.云計算終端的現狀和發展趨勢.電信科學，2010，26（3）

4 何明，鄭翔，賴海光等.云計算技術發展及應用探討.電信科學，2010，26（5）

5 段勇，朱源.IDC基礎設施云的安全策略研究.電信科學，2010，26（6）

6 朱源，聞劍峰.云計算安全淺析.電信科學，2010，26（6）

7 汪來富，沈軍，金華敏.云計算應用安全研究.電信科學，2010，26（6）

8 于明，胡前笑.云計算技術與業務發展策略分析.電信技術，2009（10）

9 張云勇，陳清金，潘松柏等.云計算安全關鍵技術分析.電信科學，2010，26（9）

10 林果園，賀珊.一種云計算環境下的安全模型.電信科學，2010，26（9）

11 琚潔慧，吳吉義，章劍林等.SaaS應用中的多租戶與安全技術研究.電信科學，2010，26（10）

12 程瑩，張云勇，徐雷等.基于Hadoop及關系型數據庫的海量數據分析研究.電信科學，2010，26（11）

Research Based on Security Services of Cloud Computing

Gai Ling
（Jianghan University，Wuhan 430065，China）

The rapid development of Internet applications facilitates people’s work and life,as well as provides a broad space for invaders.Constantly changing and evolving methods of attack,which make the traditional enterprise security system facing unprecedented challenges.As cloud computing’s success in landing areas,cloud-based security services has moved from concept stage to the improvement and extension phase.Cloud security services can solve many security threats and challenges,including the telecom operators in many fields within a wide range of applications.

cloud computing,cloud-based security service,SLA

2011-04-13）