5月18日,第八届中国云计算大会在北京国家会议中心召开,本届大会设立了四大主题,分别为:“VISION远见”、“PRACTICE实践”、“INNOVATION创新”和“FRONTIER前沿”,呈现出云计算大数据产业从萌芽到发展至今的历程。
随着云计算的发展,安全越来越成为云计算应用顺利落地的重中之重。云计算为大数据提供了存储、传输和计算的平台,大数据也为云计算安全提供了监测、分析等方面的支持。5月19日下午,由中国电子学会主办、ZD至顶网协办、乌云和《中国信息安全》杂志社提供论坛支持的“云计算大数据安全论坛”召开。论坛聚焦云计算大数据安全话题,邀请云计算大数据安全专家、云安全提供方及云计算用户、白帽子现身说法,一起交流云计算大数据安全的实践经验。
会议由中科院信息安全国家重点实验室翟起滨教授主持,同时他也是第一个演讲者。下面我们分享每个演讲者的精华部分。
对安全大数据的进一步思考——国家重点实验室教授 翟起滨
现在的互联网已经由一般的Internet慢慢发展成网际空间,云计算的出现是社会的需要。Gartner曾经预测,大数据分析的问题会越来越多,大规模的数据需要被有效关联分析和挖掘,未来将出现安全平台,需要大量的信息工程师。
在RSA2015、2016年产品博览会上,很多公司现场表演砸掉原来生产的盒式安全设备。这是什么原因?云计算和大数据将我们推向智能的机器时代,智能设备的发展速度大大超出人们的预测,给网际空间带来层出不穷的安全问题,按照原来的方式处理安全问题已经落后了。
我国三大运营商在各地密集建设大数据和云计算中心,有关数据显示仅中国电信一家的数据中心数量超过330个,占全国50%以上的份额,云计算核心是数据,本质上是软件和服务,云计算绝对不等于建设数据中心。
李克强总理最近讲信息数据深藏闺中是极大的浪费。政府信息公开不是单纯的信息发布那么简单,而是关系国家治理现代化的一项基础性工作。身处大数据时代,最大限度发挥政府信息数据满足需求、解决问题的效用,才是信息公开未的基点所在。云计算、大数据发展过程中社会意识形态要跟着改变。
构建安全的云计算平台——新致云IaaS产品总经理 田奎
现在更多的个人和企业都开始使用云,但近几年移动、互联网、大数据的发展给云计算数据中心带来很多安全考验,我们要从物理安全、计算安全、网络安全、危机分析防护等一系列的问题进行探讨。
首先是云计算基础安全架构,包括云平台整体的架构安全和云平台的虚拟化安全。云平台的整体架构安全包括物理架构的安全和云平台虚拟架构的安全。在云平台架构安全设计中,我们将网络安全数据资源化,安全设备资源池化更有弹性,这样能满足云平台弹性伸缩的架构。整个设计要基于全局可管控的角度设计,要把虚拟网络、web网络、物理网络做整个梳理。其次就是物理平台的架构,整个网络设计都是全冗余的,这样出现问题的情况下所有网络数据可以自动切换达到高可用的目的。
云平台虚拟化安全一个是CPU虚拟化,一个是内存的虚拟化安全保证,其次是存储和网络虚拟化安全保证。
数据中心要建立统一的监管控制平台,所有网络的进出,流量的信息,包括访问信息必须要能够看到,因为用户种类不同,需求不同,数据类别太多,我们要防患于未然,数据信息必须可控。
大数据在云安全方面的应用——京东集团首席技术顾问 翁志
今天我跟大家分享的是对于大型互联网企业如何进行安全防护的问题。云时代的安全威胁会涉及到各种各样的攻击,如DDOS、中间人加密攻击、网络劫持、旁路攻击、验证攻击等,所以云时代的安全已经是一个非常紧迫的事情,尤其在大数据非常普及的现在,我们每个人的私有数据都在云上存储的时候,这些数据的安全性就变得非常至关重要。
云时代数据安全存在哪些挑战?分布式存储:现在海量的数据分布在网络当中,相应的安全性也是分散的,任何一个地方都有可能造成数据的泄露,所以对安全技术要求很高。非关系性的数据:原来数据是结构性,现在90%以上都是非结构数据,比如说文本、图像,怎么进行保护是我们面临的问题。还有数据隐私,电商有很多的数据,涉及到数据加密、存储、限制获取,在此日志非常重要,是做安全的最宝贵的数据,我们可以通过这些数据反映当时的情景。数据审计,数据肯定经过一个处理的过程,所以要对数据进行实时的处理,这需要庞大的集群来做。数据源控制,数据放在数据库当中,再到数据分析系统中去,传输过程可能被劫持,涉及到泄密的可能。
我们认为高级可持续性攻击靠现在传统安全的手段无法阻挡,因为攻击变得越来越多样化,漏洞也越来越多,比起攻击来说防范困难得多。现代的安全防范手段应该是是全局性、立体性而且是感知性的。作为电商,大数据分析的方法会帮助我们提高整体的安全体系,我们能知道数据是否处在危险当中或者有泄露的可能,可以通过大数据方式对蛛丝马迹进行完整的分析。
高速发展的企业如何在云中安全驰骋——UCloud安全总监 方勇
创业型企业对公有云非常欢迎,原因一是按需交付,二是有资源池,三是网络访问便捷。这些企业面临着激烈的市场竞争,一般公司规模不太大,而且几乎没有专职的安全运维人员,这是他们很明显的痛点。
对企业安全的方法论,第一个叫做七分技术,三分管理,其实我觉得这并不是一个标准答案,但是它是可以参考的框架。管理的作用是在控制对象比较多的时候,通过一个政策一次性的控制所有的控制对象,这是管理的巨大价值。但是如果管理的对象是一个规模较小的创业公司,我更倾向用技术解决问题。当企业发展到一定程度是,需要用管理制度去经营改善问题。第二是安全的可度量和可视化,我相信很多公司都在通往这条路的路上,这可以让你的安全是可度量的。第三个是安全开发生命周期,从最开始的安全培训,到需求、设计的评审,到编码过程、测试、发布、运营整个流程,都要关注安全。第四是做好事前免疫、事中拦截和事后追溯、解救。这是做安全很重要的理念,安全没有办法一招就把黑客拒之门外,要做好事前事后的每个环节。最后就是纵深防御,企业安全领域最底层。进不来、找不到、拿不走、看不了、能发现,这就是企业安全方法论,也是执行层需要去做的事情。
发展的企业适合上云,云上的安全和传统安全有很多差异,一是成本降低,二是效率提高,三是提升体验,最后能力加强。
政企大数据云构建与安全可信实践——北京中联润通信信息技术有限公司总裁 贠瑞峰
根据我们在政府企业和云计算包括大数据中心建设的实践,我们总结了一些经验,政府和企业过去积累下来很多不同的应用不同的系统,这些怎样有机的去跟云计算和大数据的技术做一个有效结合,能够充分利用云计算大数据给我们带来的随需而变的便利,是政企客户面临的问题。
具体到政企大数据云中心有这四个目标,第一个是弹性+定制,要考虑弹性、定制化、可用性、安全性、性能等诸多关键要素,在我们这边弹性不仅仅是一朵云,我们可以管理下面几朵同构或者异构的云。定制靠中间件,针对客户管理上或使用上的需求做一些定制和对接。
第二安全可信,我们通过等保三级的流程和规范进行管理,同时通过可信技术如TPM2.0提高系统安全性,还对敏感数据进行加强防护和安全渗透测试。
第三是技术可靠,要用技术手段来保证系统本身具有高可用性,如分布式存储,数据三倍冗余,主机保护,专业备份等。
第四是专业运维,建好了不代表你用起来没有问题,在后期从建设转化到运维时,我们要能够持续保障业务系统能够运营下去。
云环境下的企业安全解决方案——Palo Alto Networks亚太区云顾问工程师 马元骐
在黑客的行为模式里,当我们今天要做的不是侦测已知而是防范未知的话,我必须知道黑客怎么想怎么做,这样我才能防护到每一个点。大部分黑客在系统能够做的行为,总归起来只有三十几种固定的模型,今天只要能够在系统里监控这三十几种模型,不管病毒怎么变,不管用什么方法进来的,最后做的操作行为。我们都可以察觉到,更好的进行防护。
云数据安全第一个是零信任,在2009年业界提出的一个新概念是零信任,不能信任任何一个区域,因为攻击现在不一定是从外部进来,特别是在云里,安全需要更加细分,不仅有防火墙这样的监控设备,还需要有横向保护。第二快速敏捷是云带来的最大优势,运用云平台大数据作关联分析,可以让我们看到隐藏的威胁,进行分享,甚至实时把学到的行为变成可以在新一代安全设备里面实施的策略,快速回到设备加强自我的状态。
云计算还有一个问题是要考虑谁负责谁的安全。我们都认为云平台运营商应该担负起安全责任,但业界有好几起OpenStack的平台被黑掉,甚至所有资料被抹掉。作为用户需要确保我在云里面安全策略和我在企业里面是一模一样的,有没有一套机制确定达到100%的转换,到底安全不安全。
携程云WAF与大数据分析实践——携程信息安全部高级安全专家 张亮
作为甲方来说,面对安全需求的时候不可能完全靠硬件去做,我们不可能把所有产品线产品流量都往云上迁移,所以我们必须做自己的云WAF,这是公司内部的安全要求,防黄牛、防刷票、防扫号、防爬虫一些业务需求我们都可以自己防护。还有一个难点就是系统里存在很多不同的操作系统,我们通过集中式的平台来防护,不需要每一台都部署。
不管是业务需求还是应用安全需求,目前来说基于规则的准确性更高。那么规则语言从哪来?首先最开始的核心规则来源是从开源获得,我们把它从外部收集回来以后内部进行一些调整。其次通过日志流量镜像的方式进行规则使用的实时计算,第三步将实时计算结果进行分析,第四我们会将故报率低、漏报率低的规则才会考虑放进WAF当中。所以我们要检测具有什么特征的流量,都会用这套系统先去计算,再把规则加进去。对一些维度的统计我们有一个分数计算,分数越高证明IP独立攻击的危险度越大,后面将这个规则手动与WAF进行联动。因为WAF并不是万能的,它也可以被绕过。
现在系统每天差不多收到几十亿的请求,每次处理大概0.2毫秒的时间,每天拦截数百万次的攻击,误报率低于千万分之一,我们可以结合自己的业务特征,做成白名单,让误报率降低,同时不会放过真正的攻击。我们将来计划进一步提高自动化,通过机器学习和前端的实时计算,能够做到无人值守,让它可以自动识别可疑访问。
企业终端威胁预警云平台建设思路——安天实验室副总工 李柏松
在上世纪80年代到90年代,中小企业面临的终端安全威胁最主要的就是病毒,本世纪初,计算机蠕虫传播影响很大,到2006年的时候木马数量显着增加。现在对企业安全构成最大影响的是恶意软件,如现在比较流行的加密勒索软件。
勒索软件本身不是很新的概念,但从2013年开始增长迅速,有三个原因:首先它从投入产出比来看利润非常丰富,勒索软件只是一个简单的加密程序;制作成本很低,甚至有一些勒索软件是开源的;最后是需要的能力低,没什么能力的犯罪分子也能完成传播的服务,从而受益。此外APT的威胁也越来越严重,APT威胁是一种未知威胁,非常复杂难以检测,没有办法建立有效的检测规则,没有办法把检测能力实施到产品中去,破坏力强,影响严重。
我们对此有一套应对策略,未知防御、全网追溯、定点清除,主要适用于中小企业以及对安全要求非常高的部门。我们首先对不同企业使用的黑白名单,建立单独的安全基线,保证网络设备的安全运行。同时进行深度威胁鉴定,通过前置沙箱发现里面的漏洞利用和可疑行为,让有问题的未知程序都不能执行。还有全网追溯,一旦发生事件,可以在内网进行追溯,管理员可以根据某一种机制进行定点清除。对勒索软件我们有文档跟踪备份,利用云存储的优势来进行。我们把防御这套思路以一种SaaS模式提供服务。用户在终端安装程序,所有服务在云端上,可以省去很多环节。
站在云端看企业安全——乌云核心白帽子,唐朝安全巡航总监 章华鹏
企业安全的本质是数据安全,互联网本质其实是信息互联的概念,信息本质也是数据,所以企业安全的核心其实就是数据安全。云给企业安全带来的变化是数据的边界正在消失。由于云计算的普及,大量客户的数据已经从个人终端向云平台做迁移,这使得数据安全将更多关注整个云平台的安全。
云平台安全出问题会导致用户核心数据的风险。例如有一些企业开始接入企业办公的SaaS平台,如财务、人事,导致原本在内部的数据同步到了云端。所以对于这些企业来说,数据的安全已经不是内网、办公网的网络安全,而是云平台是否安全。
现在很热的“互联网+传统行业”的业务,像互联网医疗、互联网金融、P2P相关企业、出行服务这些场景,有一个很明显的特征,他们的互联网业务处于起步阶段,关注的是企业生存问题,对安全的需求较高,但自身能力可能不足,不知道该怎么去做,以及找不到合适的人才。这样一个大背景下我们要思考能否提供更好的解决方案。
新的解决方案,首先要做一个精细化的资产管理,其次对当前资产和服务做风险监测,接下来才能做整个安全的建设。我们结合乌云本身社区的优势,将近几年积累的近20万的漏洞,2万名的白帽子,把安全能力输出给企业。另外社区还有一块是对全球威胁情报的收集,依赖社区的力量涵盖到最新的风险。
最后我们要对企业的安全做持续的保障,首先做一些周期性的检测,根据业务更新进行风险检测。其次进行持续的风险管理,风险分析,帮助企业了解当前的安全状况,未来的趋势。
