在过去一年中,在全球范围内大型数据泄露事件层出不穷。今年4月23日下午13时,美联社推特账户被黑客盗用发布了“白宫被炸”的假新闻,令美国股市股指出现短暂性暴跌。在虚假消息被澄清后,股指又很快恢复到原有点位。正是美联社采用了低安全级别的IT消费者化平台,给黑客利用IT系统操纵新闻,从股票涨跌中牟取利益的可乘之机。
根据趋势科技最新的调查和研究结果表明,企业的数据泄露平均损失已经上升为370万美元。90%的组织正在遭受活跃的恶意软件入侵,但其中55%的用户却浑然不知;91%的APT攻击都开始于鱼叉式钓鱼攻击。如何保护企业信息资产,如何以更智能的管理和防护方式应对新形势下IT威胁?在这方面,为企业提供云服务的电信运营商,更要对云应用安全和虚拟化安全未雨绸缪。
中华电信是台湾最大的电信运营商,并致力于成为最便捷的IDC公司。中华电信在提供云计算服务时,直面的是像亚马逊AWS这样的国际竞争对手。所以,为用户提供更加安全的IDC服务,成为中华电信追求的目标。
中华电信在设计云数据中心时,除追求环保、节能、可靠及企业社会责任等原则外,还特意将数据中心虚拟化衍生出来的安全威胁重点规划在内。通过所属研究机构中华电信研究院数据通信安全研究所,建立自主及先进的信息安全防卫技术,以期实现信息安全防卫。
去年2月,国际云安全联盟(CSA)发布了2013年云端安全的9大威胁,分别是数据泄露、数据丢失、账户劫持、不安全的API、拒绝服务攻击、内部人员的恶意操作 、云计算服务的滥用、云服务规划不合理及共享技术的漏洞问题。“在这9大威胁中,我们最大的不同在共享技术漏洞一项。”中华电信研究院数据通信安全研究所研究员刘顺德在近日趋势科技高端CIO峰会上接受《商业价值》记者采访时表示,“云端使用者担心云端的安全性,比如上传的信息会不会被拦截?别人受到攻击后,会不会殃及自己?这些问题都是由计算中心虚拟化而衍生出来的,从而让用户对使用云端产生疑虑。”
“云数据中心的安全要兼具传统与新兴云防御机制,并需要全自动的企业信息安全政策监控机制。” 刘顺德说。所以,中华电信在云安全制定方面,除传统安全外,还加入了虚拟化安全,并在政策上落实。比如,在符合中华电信信息安全实施细则的情况下,每一部主机及所处环境都应当遵循安全要求,但虚拟化下主机的复制及搬移相当便利,如何确保当虚拟主机被搬移或复制到另外一个地方的时候,也能够持续符合安全要求,这就是在云端治安上新兴的一个很有趣的话题。中华电信在遵循标准法规方面,从参考、符合和遵循等三个层次逐一推行。
除法规遵循外,实体安全和备份也是非常重要的一环。在虚拟化的过程中,会有虚拟和实体混搭的情况,中华电信除了提供安全防护外,还提供加解密服务。例如,针对VM文件管理,中华电信采用了SafeVM全加密机制,可驻点虚拟主机映像文件运行中均自动加解密,即使VM被黑客入侵,映像文件被窃取,数据为加密状态而使其无法辨别。除了VM外,对不喜欢整个加密的客户,中华电信还提供外挂硬盘加密。
为了给客户提供更好的安全,中华电信在实体机和虚拟机部分快速部署云端安全的机制,一方面数据中心和云平台免遭数据泄露和业务中断,并降低运营成本。另一方面确保物理、虚拟和云环境中服务器的应用程序以及数据的安全。
刘顺德表示,数据中心建设向虚拟化发展已是必由之路。在建立云数据中心时,信息安全应在构建前重点考虑。他还提醒说,信息安全防护是一个流程,并没有一次性的解决方案,需要一个持续的维护团队。另外,除了好的设备,还需要好的专家协助,才能做更好的IDC信息安全防护。
