技术
首页  >  云计算  >  要闻

云安全产品向产业化发展

2016-11-03  来源:中国信息产业网-人民邮电报  作者:中国电信股份有限公司广州研究院樊宁 何明

云计算技术在互联网服务领域的广泛应用,激发起传统业务模式的创新和爆发式增长的用户需求。越来越多的企业希望将信息化系统和信息化业务向云上迁移,却对云安全产生顾虑,信息安全成为企业接受并采用云的重要前提。因此,云安全作为云服务配套的营销亮点产品应运而生。在安全产品和云服务产业链中,传统的安全软硬件厂商、云服务提供商、虚拟化平台提供商均参与其中,共同推动云安全产品上升到产业的高度。

云安全产品概述

云安全产品泛指面向云计算平台和应用提供的保障性服务和在安全领域应用云计算技术对外提供的服务这两类产品。根据服务和保护对象的不同,前者称为云计算安全产品,后者称为安全云产品。

从电信运营商的视角,适用于电信运营的云安全产品同样也包括云计算安全和安全云产品两个层面,一方面在前端、虚拟化平台和计算、存储、网络等基础设施上应用云安全产品,加强运营商云平台的安全等级,提供安全的云托管服务;另一方面基于云安全资源,面向互联网末端用户提供安全云服务。

云安全产品分类评析

Web安全防护产品:Web安全防护产品主要有基于云的安全Web网关、云Web应用防火墙、WAF即服务等。其中,基于云的安全Web网关和WAFaaS属于安全云产品。

基于云的SWG是传统SWG的云应用,用来保护企业和互联网用户免受来自Web服务的攻击,同时帮助企业互联网安全策略合规化。产品基于云的能力源于与云端沙盒和网页信誉服务的整合,通过离线恶意行为检测分析,全局共享恶意网站URL和行为特征数据,形成快速联动的云查杀体系。主要防护功能包括URL过滤、恶意软件防护、应用控制等。目前产品正着力在高级威胁防御(ATD)、威胁预警等关键领域提升产品能力,已初步具备预判安全威胁的能力,但尚无法对威胁信息进行细粒度分析,评定危害等级。该产品近年呈现出很强的增长趋势,每年增长规模都在两位数以上。现网部署的SWG有四分之一基于云提供。

云WAF是通过执行针对HTTP/HTTPS的安全策略来提供Web攻击防护的云WAF资源池。云WAF采用移交域名解析权的方式牵引网站访问流量,无法像传统防火墙那样完全隐藏真实服务器,缺乏整体机制可靠性的保障。此外,托管网站还需配套机密数据防护机制应对敏感数据泄露风险。

WAFaaS通过云WAF面向网站提供基于云的服务能力。与传统WAF部署在本地Web服务器的前端不同, WAFaaS远程提供安全服务,用户无需在本地安装软件程序或部署硬件设备,实现了IT成本最小化。

虚拟化安全防护产品:虚拟化安全防护产品包括高保证Hypervisor和Hypervisor安全保护等产品。高保证Hypervisor产品是采用高可信等级的Hypervisor软件来保证云平台的虚拟化层不会受到攻击或破坏。Hypervisor安全保护产品是传统防火墙和下一代防火墙在虚拟化层的衍生产品,基于深度防御思想,采用多种四七层网络防护策略来保证虚拟化层级的全局安全性。

高保证Hypervisor产品基于硬件可信根技术来保证所加载虚拟化平台的完整性。最初高保证Hypervisor产品是作为军用级Hypervisor与内核分离产品出现的,未成为主流商业解决方案。现在Citrix的XenServer最新版本、 Windows Server 2012的 Hyper-V 和 VMware的vSphere都开始支持启动时可信根评估。最新一代的Intel处理器也对可信评估及其扩展功能进行支持。但由于公开披露的Hypervisor漏洞较少,大多数企业并没有对高保证Hypervisor产品产生关注,该产品的市场空间相对狭窄。

Hypervisor安全保护产品采用虚拟机形态嵌入在Hypervisor层级为云资源提供细粒度的网络攻击防护。Hypervisor安全保护产品需要与Hypervisor层耦合,往往由安全厂商和虚拟化软件供应商合作推出,存在两类实现方式:一类是通过Hypervisor层的流量调度,在虚拟机上实现防护。另一类是虚拟机只进行安全策略管理,执行点嵌入Hypervisor层内部。由于受Hypervisor层开放程度的影响,相关安全产品所能提供的安全能力和性能都大打折扣。Hypervisor安全保护产品成熟度较高,大多数传统防火墙厂商都在推出相应的虚拟化软件版本。但由于Vmware等虚拟化软件商正控制对虚拟化层的开放,该产品发展前景并不明朗。

云Anti-DDoS服务产品:云Anti-DDoS服务的防护方案主要有内容分发网络方式、运营商级流量清洗和基于软件定义网络的流量管理三种方式。

CDN方式是基于CDN节点部署,通过域名系统调度,将DDoS攻击流量引导到多个分布节点,由多点部署的防御设备分别处理。该方案流量牵引的技术实现难度不大,但对业务具有针对性,对运营组织及应急响应流程要求也较高。CDN节点数量是DDoS防御容量的关键指标。

运营商级流量清洗方案利用运营商的网络资源,分布式部署流量清洗中心,采用骨干网和省级城域网两级联动方式,在全网范围内追溯攻击源头,协同调度资源,近源清洗。该方案能缓解CDN方式无法处理的超大规模DoS攻击流量。国外一些云服务提供商如AWS,会通过与网络运营商合作或购买服务的方式,将该方案与CDN方式结合起来进行DoS攻击防护。

基于SDN的流量管理方案利用SDN架构来实现DDoS攻击流量的检测与处理。该方案的优势在于部署灵活,防护架构与底层网络拓扑无关,安全策略对保护对象透明。但由于SDN技术目前尚未普及,其应用范围具有一定的局限性。

云安全产品由于发展时间比较短,大部分产品的技术和产品形态都处于探索阶段,更新换代快,有很大的完善空间。作为新兴市场,云安全产品市场目前仍处于成长期,技术和商业成熟度都有待提升,尚未出现行业领导品牌或产品,但市场潜力很大,已经展现出较强劲的市场需求。云服务提供商可密切关注云安全产品的发展,审慎地应用与推广。

关键词:安全产品 安全策略 Hypervisor vSphere XenServer