近年来随着云计算大数据和人工智能、互联网技术的成熟,许多行业更多的去运用这些新兴技术,而伴随而来的就是行业云的安全问题,云安全是云计算的重要分支,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过大量的网状客户端对网络中软件异常行为的监测,获取互联网中木马、恶意程序的最新信息,传送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端,这对云计算普通用户与企业用户的使用与保密信息造成了巨大的损失与隐患。而本次的2015中国互联网大会之云计算及虚拟化安全论坛就此问题着重展开了讨论。
VMware亚太区技术副总裁李映博士
在“软件定义混合云时代的信息安全新架构”的演讲上讲到:企业安全永远从这几个基本点出发,第一个基本点是标准,有标准后会发现变化很少,问题就慢慢得到解决。第二个是控制,这方面很重要,只有更多的资源,且在更多的流程应用在控制之下,才能避免各式问题的发生。第三个,绝大部分用户都是专业性的IT人士,他们会理解这种标准,对他们来讲,这个技术是理所当然的事情。更多的安全问题其实是源于用户使用造成。而来自安全问题的挑战来源于用户自身的思想转变,其一,IT外部控制,内部全安全可信,这种观念已经跟不上混合云、新的互联网时代。其二,原来人们认为企业内部的每个应用都是安全可信的,而在新模式下,要假定每个应用都不可信,才可让自己对应用的监测加强。其三,要认为这些安全隐患可以帮助用户,这样才会对安全隐患做出最快的应对措施。主要的挑战来源于硬件支出的成本和无法通过虚拟机来配置防火墙。现今我们需要新的IT技术来帮助满足信息安全的挑战,软件定义是移动互联网上数据中心的新架构,通过网络的虚拟化,通过微分段帮助解决很多的安全问题。,
UCloud安全中心总监方勇
“如果不重视安全可能会出很严重的问题,甚至这个严重的结果可能会让这个公司不一定很好的走下去。”这是来 自UCloud安全中心总监方勇在“公有云安全挑战与挑战”上所带来的一句话。他认为,现在的云安全基础分为两大部分,一部分是虚拟化,一部分就是网络。最底层的是基础架构及服务IAAS,给用户提供更多的虚拟化的网络和服务器、存储,包括负载均衡。接下来就是PAAS和BAAS,人们理解这个平台或者技术软件及服务,可以比较直观的了解到,云数据库或者是云内存,这里面的典型应用,最后便是所谓的SAAS,软件基础服务。再往上走,安全从业者比较喜欢的就是安全及服务。在虚拟化安全里面逃逸是很重要的PK的点,技术上是很重要的点,逃逸就是租用一台虚拟机,但能去获得你物理机的权限,私有云也有类似的问题,但主要是公有云,主机层面带来挑战。在公有云中,在客户被攻击时什么时候去封堵,取决于平台的容量,技术以及工作人员对其的承诺。封堵跟清洗是防护里面非常重要的两个手段。云安全从业者怎么从中适应它的发展,找到相关的机会,这个非常重要,首先要认识到这是一个非常大的变革。现在怎么做云计算的生意,这是需要改变的一个过程。其次就是创业者,创业者这里面其实也会有很多的机会。最后传统的集成商还有IDC,也会想念办法去随着云计算的浪潮往前发展。作为集成商和IDC来说,用户已经使用云了,必须要做一个转变。
泰一奇点公司CEO艾奇伟
在Docker安全领域很有见地的泰一奇点公司CEO艾奇伟分享了“Docker安全之我见”这个话题的见解与想法。他认为对于Docker的安全性威胁主要来自于内核漏洞,而对于这种内核漏洞Docker是完全没有办法去防御的。所以说对于宿主机来说,Docker的实力,用户好像老感觉在一个真正的OS环境里面执行应用,但是站在一个系统的角度上来讲,Docker里面其实就是一个内在的应用,在安全上来说,也应该像对待其他的应用来对待它,应该全系统的对待Docker的安全,Docker里面应用的安全,其实就是系统应用的安全。而可以通过一些方案去增强Docker的安全性,一个是文件系统保护,第二个是Capability的机制,还有一个是NS、Cgroups自我配置,Docker本身利用它隔离资源,最后我们还要使用SElinux,, SElinux是很难配置的,通过这些方面来加固Docker。
360虚拟化安全团队负责人唐青昊
来自360虚拟化安全研究团队的唐青昊分享的议题是“云虚拟化系统的漏洞安全技术”。虚拟化技术在云计算的框架当中又增加了一种新的安全风险。虚拟化漏洞分为两种类别,分别是指令仿真缺陷、外设处理缺陷。有两个比较典型的代表是CVE-2012-0217,第一个漏洞在泛虚拟化平台上的,黑客利用该漏洞导致它进入非规范的地址空间进而被利用产生从虚拟机到宿主机的隧道,为初始化的引用造成虚拟机的宕机,这个漏洞造成异常中断。第二种类型是外设处理缺陷,这个漏洞中今年5月份的毒液是非常典型的代表。而虚拟化漏洞挖掘的特点,第一是在测试的IE、Flash或者服务器软件以及内核截然不同,测试设备相当于物理的设备,相对于传统目标的底层。第二个特点,要使用的数据源不再是文件缓冲数据包或者是系统产生的参数,要测试的虚拟化系统,它的数据源必须是设备所要使用的状态位。因此,在数据方面会与传统有很大的区别。“可以改变正常的设备的执行流程,由于设备在进行初级处理时,按照进程进行处理会有较少的问题,因此可以通过改变操作系统的属性和驱动的寄存器进而修改设备来处理它的正常运转。也可以通过修改操作系统初始化时为设备分发寄存器的状态进行测试。”这两种方法是在实际发现漏洞过程中效果是非常好的。
象云运维总监罗晶
接下来是象云的运营总监罗晶带来的“云数据中心的安全运维”。他讲到,运维就是保护好客户需要保护的东西,这个保护需要一个方案,首先定义好需要保护的位置,建立一个合理的安全组织,安全流程,在细节上,比如说在传统安全问题上,像密码泄露、SSH Root登录,对云计算用户的保护也需要多样性的支持。底层建筑、物理安全、网络安全、系统安全是上层的应用的基础。云时代除了传统的安全问题,人们又有新的挑战了,云把我们的生活变得更美好,让我们的系统或者服务变得更灵活,但是传统的问题仍然存在,新的问题也同样存在的。网络攻击也好、系统攻击也好,依然还是存在,数据用户的泄露与失去云计算的安全,避免数据的泄漏还是建议数据备份,备份的方式、方法尤为重要,自动化备份,不要相信人工备份,自动化运维会避免一些人工的失误。
华三通信安全专家李彦宾
最后一位是来自华三通信安全产品部的部长李彦宾,他带来的分享主题是“新IT环境下企业安全防护的思考”。他认为首先要做安全,未来的安全一定是随着互联网+时代面向应用的,只有面向应用的时候,讲安全防护才有意义。面对安全对象的时候或者说全防护的对象,是非常复杂的,尤其在云中心,一个云中心很多租户,有很多的应用,这个云中心的每个应用或者那么多的租户怎么做安全防护?怎么按照某一种防护方式实施它的安全策略,这是必须要考虑的,而且能够做到灵活性,这是必须要考虑的。所以人们提出来要有一种新的架构能够满足这种安全的策略的需求。在工作人员改造私有云发展的同时,也发现了一些问题。第一个,云计算会导致数据中心IT资源被资源化,作为能力资源符合调度起来了。第二个,数据中心的大二层架构,,在云中心未来有很多的业务,每个业务之间要做到灵活的业务调度的时,需要一个最基本的网络支持,这个网络支持就是大二层的支持。第三个,基础设施及服务,企业在做云主机的业务,云桌面的业务,云存储的业务,未来也看到安全能不能做业务,以前用需要防火墙报告,找供应商购买,现在能不能快速的生成,就像虚拟机一样,存储的时候可以快速的获取这些资源。云计算最大的问题,刚才说了所有大二层边界也好,虚拟化也好,造成的一个问题就是边界模糊了,原有的以前就是在一个物理服务器,如果这两个需要隔离,APP到DB之间都需要隔离的时候,可以在这加一个防火墙,可以隔离控制了。在大安全领域需要每个献计献策的人合作才会有更进步的未来。