浪潮:從雲主機入手構建全面雲安全
11月28日,中國雲計算產業促進大會暨2014中國可控可信計算應用及產業會議在南京召開。本次大會由中國計算機學會應用專業委員會主辦,系統研討了雲計算時代的信息安全以及中國可控信計算的產業情況、核心技術與應用場景等問題。浪潮集團信息安全事業部副總經理蔡一兵博士在大會上指出提升雲主機的安全防護是全面提升雲安全的有效途徑,受到業界廣泛關注。
伴隨着雲計算應用的不斷深入,雲數據中心發展迅猛,已經成為企業海量關鍵業務數據的承載體。雲數據中心安全的重要性日益凸顯,加強對雲計算以及信息的管理應引起高度重視。在系統安全方面,以提高防禦、應急處置能力為主的傳統安全管理已經不能適應新計算、新網絡、新應用和新數據為新特徵的信息安全產業發展的需要。蔡一兵表示:“傳統的‘封堵查殺’等‘被動應對’的防護模式已經不能滿足雲計算的需求,形成‘主動防禦’的安全模式非常必要。在雲安全的發展上,浪潮認為以下三點非常重要:從解決途徑上來看,以可信計算為基礎,構建完整的信任鏈可以切實提高雲計算的安全防護能力;從國家安全的角度來看,中國必須擁有自主可控的雲安全技術;從具體的防護內容來看,雲主機安全是雲數據中心安全的核心,必須予以足夠重視。”
基於可信計算實現主動防禦
傳統數據中心的防護大多采用‘封堵查殺’等‘被動應對’的防護模式,但是這種模式在雲數據中心中已經無法滿足安全需求。從外部來看,黑客組織長期針對雲主機進行有組織、有計劃的高級持續性威脅(APT),以期獲得其中海量的企業機密信息和情報謀取利益。從內部來看,雲計算具有開放性和複雜性的特點,虛擬化等技術讓雲數據中心一直處於動態變化當中,遭遇安全問題的可能性超出傳統的數據中心,針對雲主機的“Guest OS鏡像篡改”、“主機租户攻擊”和“虛擬機篡改”為目的的惡意威脅數量越來越多。另外,內部人員的風險同樣不可忽視,雲主機上的信息泄漏隨時都有可能發生。
蔡一兵表示,可信計算可以形成‘主動防禦’能力,滿足雲數據中心安全需求。所謂可信計算是指在計算的同時進行安全防護,計算全程可測可控,不被幹擾。具有身份識別、狀態度量、保密存儲等功能。其核心思想是通過在硬件上建立計算資源節點和可信保護節點並行結構,從平台加電開始,到應用程序的執行,構建完整的信任鏈。
浪潮雲主機安全產品整體解決方案等一批基於可信計算的產品與解決方案的推出,切實推動了雲數據中心安全防護向主動防禦轉型。
雲安全技術必須自主可控
雲安全的風險從來不只是來自於技術本身,還包括安全的運行環境。特別是斯諾登事件出現之後,安全風險被充分暴露,技術的自主可控需求進一步提高。雲數據中心的關鍵系統和設備上缺乏自主控制權,缺少可信、可控的安全運行環境的現狀必須得到根本性改變。
雲計算時代,缺少自主、可控的安全方案,更容易遭受‘心臟出血’漏洞、系統癱瘓乃至針對性攻擊等安全威脅。可以想象一旦承載着有關國計民生重要信息的系統被外部勢力惡意攻擊,甚至成為網絡戰的攻擊目標,其後果將不堪設想。
也正是基於這樣的考慮,國家給予雲計算重要政策支持。國務院總理李克強11月15日主持召開國務院常務會議,部署確定促進雲計算創新發展措施,培育壯大新業態新產業。國家再次明確支持雲計算,政府的支持政策將會加速中國雲計算市場的發展,促進自主可控安全環境的形成。
從雲主機入手構建全面雲安全
雲主機是雲數據中心的核心,由服務器、虛擬化、操作系統構成,承載着重要數據和應用處理,其安全與否是雲數據中心安全策略是否有效的關鍵。正因為如此,雲主機的安全就成為了提升整體雲安全的重點。浪潮雲主機安全產品解決方案包括可信服務器、虛擬機安全套件、SSR操作系統安全增強系統、安全容器等幾部分,以雲數據中心物理主機安全、虛擬主機安全、軟件定義的計算和存儲服務安全為重點,把可信計算體系與主動防禦體系進行了有效的結合,以可信服務器為根基,構建從底層硬件到上層業務系統的完整信任鏈。
針對不同類型的用户,雲主機安全產品整體解決方案可以分別滿足不同需求。具體説來,對於雲主機用户,該方案通過感知技術自動甄別環境的變化,防止針對服務器硬件、虛擬化軟件、Guest OS及其他基礎設施的惡意代碼植入,進而提升用户自我防禦能力;對於雲數據中心運營者,安全可信的計算環境將會吸引更多租户加入,並在縱橫交錯的可信鏈條上提升雲服務的質量和可靠性;對於特定行業中的高安全等級服務器,該方案能為關鍵的業務程序提供安全可信的計算環境,防止因服務器基礎軟硬件被植入高級惡意代碼,從而避免設備被控、數據被盜的情況發生。
雲主機安全產品整體解決方案實現了可信計算體系與主動防禦體系的有效結合,對於我國可信計算產業的發展具有重大意義,在大會上受到與會嘉賓高度評價。本次大會的召開成為全面宣傳中國可信計算產業發展的意義及價值的引爆點,將有效促進我國信息化領域向安全、自主、可控、可信的方向發展,為構建雲數據中心的全面安全奠定堅實的基礎。