5月18日,第八屆中國云計算大會在北京國家會議中心召開,本屆大會設(shè)立了四大主題,分別為:“VISION遠見”、“PRACTICE實踐”、“INNOVATION創(chuàng)新”和“FRONTIER前沿”,呈現(xiàn)出云計算大數(shù)據(jù)產(chǎn)業(yè)從萌芽到發(fā)展至今的歷程。
隨著云計算的發(fā)展,安全越來越成為云計算應(yīng)用順利落地的重中之重。云計算為大數(shù)據(jù)提供了存儲、傳輸和計算的平臺,大數(shù)據(jù)也為云計算安全提供了監(jiān)測、分析等方面的支持。5月19日下午,由中國電子學會主辦、ZD至頂網(wǎng)協(xié)辦、烏云和《中國信息安全》雜志社提供論壇支持的“云計算大數(shù)據(jù)安全論壇”召開。論壇聚焦云計算大數(shù)據(jù)安全話題,邀請云計算大數(shù)據(jù)安全專家、云安全提供方及云計算用戶、白帽子現(xiàn)身說法,一起交流云計算大數(shù)據(jù)安全的實踐經(jīng)驗。
會議由中科院信息安全國家重點實驗室翟起濱教授主持,同時他也是第一個演講者。下面我們分享每個演講者的精華部分。
對安全大數(shù)據(jù)的進一步思考——國家重點實驗室教授 翟起濱
現(xiàn)在的互聯(lián)網(wǎng)已經(jīng)由一般的Internet慢慢發(fā)展成網(wǎng)際空間,云計算的出現(xiàn)是社會的需要。Gartner曾經(jīng)預測,大數(shù)據(jù)分析的問題會越來越多,大規(guī)模的數(shù)據(jù)需要被有效關(guān)聯(lián)分析和挖掘,未來將出現(xiàn)安全平臺,需要大量的信息工程師。
在RSA2015、2016年產(chǎn)品博覽會上,很多公司現(xiàn)場表演砸掉原來生產(chǎn)的盒式安全設(shè)備。這是什么原因?云計算和大數(shù)據(jù)將我們推向智能的機器時代,智能設(shè)備的發(fā)展速度大大超出人們的預測,給網(wǎng)際空間帶來層出不窮的安全問題,按照原來的方式處理安全問題已經(jīng)落后了。
我國三大運營商在各地密集建設(shè)大數(shù)據(jù)和云計算中心,有關(guān)數(shù)據(jù)顯示僅中國電信一家的數(shù)據(jù)中心數(shù)量超過330個,占全國50%以上的份額,云計算核心是數(shù)據(jù),本質(zhì)上是軟件和服務(wù),云計算絕對不等于建設(shè)數(shù)據(jù)中心。
李克強總理最近講信息數(shù)據(jù)深藏閨中是極大的浪費。政府信息公開不是單純的信息發(fā)布那么簡單,而是關(guān)系國家治理現(xiàn)代化的一項基礎(chǔ)性工作。身處大數(shù)據(jù)時代,最大限度發(fā)揮政府信息數(shù)據(jù)滿足需求、解決問題的效用,才是信息公開未的基點所在。云計算、大數(shù)據(jù)發(fā)展過程中社會意識形態(tài)要跟著改變。
構(gòu)建安全的云計算平臺——新致云IaaS產(chǎn)品總經(jīng)理 田奎
現(xiàn)在更多的個人和企業(yè)都開始使用云,但近幾年移動、互聯(lián)網(wǎng)、大數(shù)據(jù)的發(fā)展給云計算數(shù)據(jù)中心帶來很多安全考驗,我們要從物理安全、計算安全、網(wǎng)絡(luò)安全、危機分析防護等一系列的問題進行探討。
首先是云計算基礎(chǔ)安全架構(gòu),包括云平臺整體的架構(gòu)安全和云平臺的虛擬化安全。云平臺的整體架構(gòu)安全包括物理架構(gòu)的安全和云平臺虛擬架構(gòu)的安全。在云平臺架構(gòu)安全設(shè)計中,我們將網(wǎng)絡(luò)安全數(shù)據(jù)資源化,安全設(shè)備資源池化更有彈性,這樣能滿足云平臺彈性伸縮的架構(gòu)。整個設(shè)計要基于全局可管控的角度設(shè)計,要把虛擬網(wǎng)絡(luò)、web網(wǎng)絡(luò)、物理網(wǎng)絡(luò)做整個梳理。其次就是物理平臺的架構(gòu),整個網(wǎng)絡(luò)設(shè)計都是全冗余的,這樣出現(xiàn)問題的情況下所有網(wǎng)絡(luò)數(shù)據(jù)可以自動切換達到高可用的目的。
云平臺虛擬化安全一個是CPU虛擬化,一個是內(nèi)存的虛擬化安全保證,其次是存儲和網(wǎng)絡(luò)虛擬化安全保證。
數(shù)據(jù)中心要建立統(tǒng)一的監(jiān)管控制平臺,所有網(wǎng)絡(luò)的進出,流量的信息,包括訪問信息必須要能夠看到,因為用戶種類不同,需求不同,數(shù)據(jù)類別太多,我們要防患于未然,數(shù)據(jù)信息必須可控。
大數(shù)據(jù)在云安全方面的應(yīng)用——京東集團首席技術(shù)顧問 翁志
今天我跟大家分享的是對于大型互聯(lián)網(wǎng)企業(yè)如何進行安全防護的問題。云時代的安全威脅會涉及到各種各樣的攻擊,如DDOS、中間人加密攻擊、網(wǎng)絡(luò)劫持、旁路攻擊、驗證攻擊等,所以云時代的安全已經(jīng)是一個非常緊迫的事情,尤其在大數(shù)據(jù)非常普及的現(xiàn)在,我們每個人的私有數(shù)據(jù)都在云上存儲的時候,這些數(shù)據(jù)的安全性就變得非常至關(guān)重要。
云時代數(shù)據(jù)安全存在哪些挑戰(zhàn)?分布式存儲:現(xiàn)在海量的數(shù)據(jù)分布在網(wǎng)絡(luò)當中,相應(yīng)的安全性也是分散的,任何一個地方都有可能造成數(shù)據(jù)的泄露,所以對安全技術(shù)要求很高。非關(guān)系性的數(shù)據(jù):原來數(shù)據(jù)是結(jié)構(gòu)性,現(xiàn)在90%以上都是非結(jié)構(gòu)數(shù)據(jù),比如說文本、圖像,怎么進行保護是我們面臨的問題。還有數(shù)據(jù)隱私,電商有很多的數(shù)據(jù),涉及到數(shù)據(jù)加密、存儲、限制獲取,在此日志非常重要,是做安全的最寶貴的數(shù)據(jù),我們可以通過這些數(shù)據(jù)反映當時的情景。數(shù)據(jù)審計,數(shù)據(jù)肯定經(jīng)過一個處理的過程,所以要對數(shù)據(jù)進行實時的處理,這需要龐大的集群來做。數(shù)據(jù)源控制,數(shù)據(jù)放在數(shù)據(jù)庫當中,再到數(shù)據(jù)分析系統(tǒng)中去,傳輸過程可能被劫持,涉及到泄密的可能。
我們認為高級可持續(xù)性攻擊靠現(xiàn)在傳統(tǒng)安全的手段無法阻擋,因為攻擊變得越來越多樣化,漏洞也越來越多,比起攻擊來說防范困難得多,F(xiàn)代的安全防范手段應(yīng)該是是全局性、立體性而且是感知性的。作為電商,大數(shù)據(jù)分析的方法會幫助我們提高整體的安全體系,我們能知道數(shù)據(jù)是否處在危險當中或者有泄露的可能,可以通過大數(shù)據(jù)方式對蛛絲馬跡進行完整的分析。
高速發(fā)展的企業(yè)如何在云中安全馳騁——UCloud安全總監(jiān) 方勇
創(chuàng)業(yè)型企業(yè)對公有云非常歡迎,原因一是按需交付,二是有資源池,三是網(wǎng)絡(luò)訪問便捷。這些企業(yè)面臨著激烈的市場競爭,一般公司規(guī)模不太大,而且?guī)缀鯖]有專職的安全運維人員,這是他們很明顯的痛點。
對企業(yè)安全的方法論,第一個叫做七分技術(shù),三分管理,其實我覺得這并不是一個標準答案,但是它是可以參考的框架。管理的作用是在控制對象比較多的時候,通過一個政策一次性的控制所有的控制對象,這是管理的巨大價值。但是如果管理的對象是一個規(guī)模較小的創(chuàng)業(yè)公司,我更傾向用技術(shù)解決問題。當企業(yè)發(fā)展到一定程度是,需要用管理制度去經(jīng)營改善問題。第二是安全的可度量和可視化,我相信很多公司都在通往這條路的路上,這可以讓你的安全是可度量的。第三個是安全開發(fā)生命周期,從最開始的安全培訓,到需求、設(shè)計的評審,到編碼過程、測試、發(fā)布、運營整個流程,都要關(guān)注安全。第四是做好事前免疫、事中攔截和事后追溯、解救。這是做安全很重要的理念,安全沒有辦法一招就把黑客拒之門外,要做好事前事后的每個環(huán)節(jié)。最后就是縱深防御,企業(yè)安全領(lǐng)域最底層。進不來、找不到、拿不走、看不了、能發(fā)現(xiàn),這就是企業(yè)安全方法論,也是執(zhí)行層需要去做的事情。
發(fā)展的企業(yè)適合上云,云上的安全和傳統(tǒng)安全有很多差異,一是成本降低,二是效率提高,三是提升體驗,最后能力加強。
政企大數(shù)據(jù)云構(gòu)建與安全可信實踐——北京中聯(lián)潤通信信息技術(shù)有限公司總裁 贠瑞峰
根據(jù)我們在政府企業(yè)和云計算包括大數(shù)據(jù)中心建設(shè)的實踐,我們總結(jié)了一些經(jīng)驗,政府和企業(yè)過去積累下來很多不同的應(yīng)用不同的系統(tǒng),這些怎樣有機的去跟云計算和大數(shù)據(jù)的技術(shù)做一個有效結(jié)合,能夠充分利用云計算大數(shù)據(jù)給我們帶來的隨需而變的便利,是政企客戶面臨的問題。
具體到政企大數(shù)據(jù)云中心有這四個目標,第一個是彈性+定制,要考慮彈性、定制化、可用性、安全性、性能等諸多關(guān)鍵要素,在我們這邊彈性不僅僅是一朵云,我們可以管理下面幾朵同構(gòu)或者異構(gòu)的云。定制靠中間件,針對客戶管理上或使用上的需求做一些定制和對接。
第二安全可信,我們通過等保三級的流程和規(guī)范進行管理,同時通過可信技術(shù)如TPM2.0提高系統(tǒng)安全性,還對敏感數(shù)據(jù)進行加強防護和安全滲透測試。
第三是技術(shù)可靠,要用技術(shù)手段來保證系統(tǒng)本身具有高可用性,如分布式存儲,數(shù)據(jù)三倍冗余,主機保護,專業(yè)備份等。
第四是專業(yè)運維,建好了不代表你用起來沒有問題,在后期從建設(shè)轉(zhuǎn)化到運維時,我們要能夠持續(xù)保障業(yè)務(wù)系統(tǒng)能夠運營下去。
云環(huán)境下的企業(yè)安全解決方案——Palo Alto Networks亞太區(qū)云顧問工程師 馬元騏
在黑客的行為模式里,當我們今天要做的不是偵測已知而是防范未知的話,我必須知道黑客怎么想怎么做,這樣我才能防護到每一個點。大部分黑客在系統(tǒng)能夠做的行為,總歸起來只有三十幾種固定的模型,今天只要能夠在系統(tǒng)里監(jiān)控這三十幾種模型,不管病毒怎么變,不管用什么方法進來的,最后做的操作行為。我們都可以察覺到,更好的進行防護。
云數(shù)據(jù)安全第一個是零信任,在2009年業(yè)界提出的一個新概念是零信任,不能信任任何一個區(qū)域,因為攻擊現(xiàn)在不一定是從外部進來,特別是在云里,安全需要更加細分,不僅有防火墻這樣的監(jiān)控設(shè)備,還需要有橫向保護。第二快速敏捷是云帶來的最大優(yōu)勢,運用云平臺大數(shù)據(jù)作關(guān)聯(lián)分析,可以讓我們看到隱藏的威脅,進行分享,甚至實時把學到的行為變成可以在新一代安全設(shè)備里面實施的策略,快速回到設(shè)備加強自我的狀態(tài)。
云計算還有一個問題是要考慮誰負責誰的安全。我們都認為云平臺運營商應(yīng)該擔負起安全責任,但業(yè)界有好幾起OpenStack的平臺被黑掉,甚至所有資料被抹掉。作為用戶需要確保我在云里面安全策略和我在企業(yè)里面是一模一樣的,有沒有一套機制確定達到100%的轉(zhuǎn)換,到底安全不安全。
攜程云WAF與大數(shù)據(jù)分析實踐——攜程信息安全部高級安全專家 張亮
作為甲方來說,面對安全需求的時候不可能完全靠硬件去做,我們不可能把所有產(chǎn)品線產(chǎn)品流量都往云上遷移,所以我們必須做自己的云WAF,這是公司內(nèi)部的安全要求,防黃牛、防刷票、防掃號、防爬蟲一些業(yè)務(wù)需求我們都可以自己防護。還有一個難點就是系統(tǒng)里存在很多不同的操作系統(tǒng),我們通過集中式的平臺來防護,不需要每一臺都部署。
不管是業(yè)務(wù)需求還是應(yīng)用安全需求,目前來說基于規(guī)則的準確性更高。那么規(guī)則語言從哪來?首先最開始的核心規(guī)則來源是從開源獲得,我們把它從外部收集回來以后內(nèi)部進行一些調(diào)整。其次通過日志流量鏡像的方式進行規(guī)則使用的實時計算,第三步將實時計算結(jié)果進行分析,第四我們會將故報率低、漏報率低的規(guī)則才會考慮放進WAF當中。所以我們要檢測具有什么特征的流量,都會用這套系統(tǒng)先去計算,再把規(guī)則加進去。對一些維度的統(tǒng)計我們有一個分數(shù)計算,分數(shù)越高證明IP獨立攻擊的危險度越大,后面將這個規(guī)則手動與WAF進行聯(lián)動。因為WAF并不是萬能的,它也可以被繞過。
現(xiàn)在系統(tǒng)每天差不多收到幾十億的請求,每次處理大概0.2毫秒的時間,每天攔截數(shù)百萬次的攻擊,誤報率低于千萬分之一,我們可以結(jié)合自己的業(yè)務(wù)特征,做成白名單,讓誤報率降低,同時不會放過真正的攻擊。我們將來計劃進一步提高自動化,通過機器學習和前端的實時計算,能夠做到無人值守,讓它可以自動識別可疑訪問。
企業(yè)終端威脅預警云平臺建設(shè)思路——安天實驗室副總工 李柏松
在上世紀80年代到90年代,中小企業(yè)面臨的終端安全威脅最主要的就是病毒,本世紀初,計算機蠕蟲傳播影響很大,到2006年的時候木馬數(shù)量顯著增加,F(xiàn)在對企業(yè)安全構(gòu)成最大影響的是惡意軟件,如現(xiàn)在比較流行的加密勒索軟件。
勒索軟件本身不是很新的概念,但從2013年開始增長迅速,有三個原因:首先它從投入產(chǎn)出比來看利潤非常豐富,勒索軟件只是一個簡單的加密程序;制作成本很低,甚至有一些勒索軟件是開源的;最后是需要的能力低,沒什么能力的犯罪分子也能完成傳播的服務(wù),從而受益。此外APT的威脅也越來越嚴重,APT威脅是一種未知威脅,非常復雜難以檢測,沒有辦法建立有效的檢測規(guī)則,沒有辦法把檢測能力實施到產(chǎn)品中去,破壞力強,影響嚴重。
我們對此有一套應(yīng)對策略,未知防御、全網(wǎng)追溯、定點清除,主要適用于中小企業(yè)以及對安全要求非常高的部門。我們首先對不同企業(yè)使用的黑白名單,建立單獨的安全基線,保證網(wǎng)絡(luò)設(shè)備的安全運行。同時進行深度威脅鑒定,通過前置沙箱發(fā)現(xiàn)里面的漏洞利用和可疑行為,讓有問題的未知程序都不能執(zhí)行。還有全網(wǎng)追溯,一旦發(fā)生事件,可以在內(nèi)網(wǎng)進行追溯,管理員可以根據(jù)某一種機制進行定點清除。對勒索軟件我們有文檔跟蹤備份,利用云存儲的優(yōu)勢來進行。我們把防御這套思路以一種SaaS模式提供服務(wù)。用戶在終端安裝程序,所有服務(wù)在云端上,可以省去很多環(huán)節(jié)。
站在云端看企業(yè)安全——烏云核心白帽子,唐朝安全巡航總監(jiān) 章華鵬
企業(yè)安全的本質(zhì)是數(shù)據(jù)安全,互聯(lián)網(wǎng)本質(zhì)其實是信息互聯(lián)的概念,信息本質(zhì)也是數(shù)據(jù),所以企業(yè)安全的核心其實就是數(shù)據(jù)安全。云給企業(yè)安全帶來的變化是數(shù)據(jù)的邊界正在消失。由于云計算的普及,大量客戶的數(shù)據(jù)已經(jīng)從個人終端向云平臺做遷移,這使得數(shù)據(jù)安全將更多關(guān)注整個云平臺的安全。
云平臺安全出問題會導致用戶核心數(shù)據(jù)的風險。例如有一些企業(yè)開始接入企業(yè)辦公的SaaS平臺,如財務(wù)、人事,導致原本在內(nèi)部的數(shù)據(jù)同步到了云端。所以對于這些企業(yè)來說,數(shù)據(jù)的安全已經(jīng)不是內(nèi)網(wǎng)、辦公網(wǎng)的網(wǎng)絡(luò)安全,而是云平臺是否安全。
現(xiàn)在很熱的“互聯(lián)網(wǎng)+傳統(tǒng)行業(yè)”的業(yè)務(wù),像互聯(lián)網(wǎng)醫(yī)療、互聯(lián)網(wǎng)金融、P2P相關(guān)企業(yè)、出行服務(wù)這些場景,有一個很明顯的特征,他們的互聯(lián)網(wǎng)業(yè)務(wù)處于起步階段,關(guān)注的是企業(yè)生存問題,對安全的需求較高,但自身能力可能不足,不知道該怎么去做,以及找不到合適的人才。這樣一個大背景下我們要思考能否提供更好的解決方案。
新的解決方案,首先要做一個精細化的資產(chǎn)管理,其次對當前資產(chǎn)和服務(wù)做風險監(jiān)測,接下來才能做整個安全的建設(shè)。我們結(jié)合烏云本身社區(qū)的優(yōu)勢,將近幾年積累的近20萬的漏洞,2萬名的白帽子,把安全能力輸出給企業(yè)。另外社區(qū)還有一塊是對全球威脅情報的收集,依賴社區(qū)的力量涵蓋到最新的風險。
最后我們要對企業(yè)的安全做持續(xù)的保障,首先做一些周期性的檢測,根據(jù)業(yè)務(wù)更新進行風險檢測。其次進行持續(xù)的風險管理,風險分析,幫助企業(yè)了解當前的安全狀況,未來的趨勢。
