云安全

向云计算迁移时应该让安全意识培训先行

admin

cloud-computing-migration

互联网和移动通讯发展迅猛,俨然已经到了“人云亦云”的时代,云计算简单讲,就是通过互联网向用户提供按需即供的计算资源,大批量的企业级用户不用自己搭建和运营专用的数据中心机房,购置服务器硬件和系统软件,甚至不用开发和维护应用程序,因为云计算服务的便利和廉价,可以使客户像用自来水、电、管道天然气或有线电视一样方便地享受到。

互联网的开放性使云计算的经营不可能垄断,这使最终用户可以自由选择,随用随取,用多少付多少,不满意还可随时自由迁移。所以,云计算行业竞争激烈,当然对于传统的IT计算方式,云计算的优势非常明显,尽管目前多数用户仍在观望和进行试探性的实施,尽管目前云计算多数停留在硬件、网络、平台和存储层面,能满足主要商业流程的应用级云计算还不够成熟,我们仍然可以看到云计算必将得到普及的趋势。

云计算要真正得到企业用户的青睐,还需解决另一项关键的问题,就是打消用户的安全顾虑,以美国为首的西方发达国家在云计算的商业化运作方面远远领先于我国,当然这些国家的云计算服务消费者要比我们更重视信息安全,云计算在西方国家能取得成功的重要原因是创新,我们也在不断模仿和学习,通过提供本地化的运作,利用本土优势,相信不久的将来我国的云计算产业会赶追并可能超越西方发达国家。

云计算服务能被美国的领先厂商广泛推广到全球领域并取得成功的另一个重要原因是无疑是安全保障,采用或迁移至基于互联网的“公有”云计算最大的障碍是安全的可控性,一方面是客户对云服务厂商本身的信任,将数据托管到云服务厂商的平台,同时意味着云服务厂商有能力获取用户的这些数据,美国是成熟的法制国家,第三产业占国民生产总值绝大部分,服务的观念早已经深入人心,人们比较容易认同服务收费的模式,同样也会将云计算服务内容和条款法律化,制度化,让买卖双方清晰了解到服务过程中的数据安全保障相关的细节内容如云服务商在什么条件下可以获取客户用户等等。而国内,这种成熟的社会和商业环境还不够成熟,服务商虽然处于舆论导向的强势地位,但对保障云计算服务的安全沟通方面显然欠缺经验,结果越是拍胸脯打保票,却越令客户联想起类似三聚氰胺事件的食品安全问题,如果再发生与云服务客户之间的安全扯皮事故,处理不当的话可能引发社会大众对云计算的信心丧失问题,进而带来人们疯狂拥向香港购买奶粉的现象。

除了担心云服务厂商利用职权或便利获取自身机密数据这一安全问题之外,云服务客户更多担心的是云计算服务厂商的信息安全保障实力,因为用户清楚,将系统和数据放在互联网上,会面临更多的安全威胁,这需要云服务厂商证明新的“公有云”安全保障体系要高于至少不低于自行建设、管理和维护IT系统时代的安全保障体系,然而,云计算服务商要将这些常规的安全控制功能整合进云服务之中,并不断改进,以期安全保障水平能胜于客户自己动手时所达的高度,并不是容易的事,这是因为安全独立厂商在安全控管方面的技术积累和科技创新已经远远成熟和领先于云计算服务开发商,而云服务开发商在相当长一段时间内,可能面临更多的是云服务的功能实现上,而非安全保障之上。

看完云计算服务提供商这一方,该看看客户了,即便是潜在的云计算客户通过合约等方式来规范厂商的数据访问行为和安全服务级别水平,即便是将传统的安全控管手段如防病毒、防火墙等搬迁至云计算平台和系统之中,云计算的企业级客户仍然面临一个重大的问题,就是安全边界的维护和重定义,加之移动计算的普及,传统的安全边界消失了,企业内外网的界线模糊了,网关防火墙主要使用路由器的功能了,企业关键的计算信息已然脱离了原本的物理内部网络控管范围,边界的模糊甚至消失让终端安全问题的重要性日益凸显,终端直接连接到云端,暴露点急剧增多,在安全方面的管控当然需要加强。

云计算大趋势不可阻挡,相信各类创新的安全控管措施会及时跟进,以解决云计算将带来的新问题,满足新时期的各类安全管理需求,云计算的使用者们不用担心这些,只需实时跟进产业变迁,及时评估和采用最合适的安全控管技术、产品或服务即可。

然而,向云计算迁移的客户们在安全方面真的“伤不起”,信息安全保障着企业的成功和持续运营,坚决不能搞“先破坏再修复”或“先污染再治理”,首先要加强云计算服务商、云服务客户和最终用户的沟通协调,将安全问题摆上桌面,敞开讨论和长谈,当然,目标是达到保障安全地使用云计算服务,而沟通的方式当然是信息安全意识培训先行,不论是云服务的乙方卖家针对甲方买家,云服务买家对云服务的最终用户,都需要坦诚相见,告知在新的云计算架构下,我们将面临什么样的安全威胁,我们应该如何防范和应对,为了应对各类安全威胁,我们有做到哪些安全控制措施,未来还需要做到哪些,各方在新的架构下各承担什么样的安全职责,各方需要如何配合……

有了和云计算相关的安全意识和基础的有效沟通,利益相关各方才能建立起基本的信任关系,云计算产业方能健康发展。

昆明亭长朗然科技有限公司致力于云计算应用相关的咨询服务,包括云计算迁移顾问、云计算服务监控、云安全服务管理,云服务流程建设以及云计算相关的信息安全意识培训等等,欢迎有任何云计算安全问题的朋友与亭长朗然的云安全专员取得联系。

“毁灭世界的力量”基于云计算的僵尸网络

admin

云计算无疑是信息产业的一项重要革命,但是控管不好,也将为互联网带来巨大的灾难。昆明亭长朗然科技有限公司的安全研究员Bob Xue称:云计算可能会被僵尸网络利用,进而变成“毁灭世界的力量”。

传统中的僵尸网络往往有其命令与控制中心,即僵尸的老巢,互联网安全方面的专家一直致力于发现和捣毁这些老巢,进而把整个僵尸网络连根拔起。

处于僵尸网络控制顶端的超级黑客们在多次受到重创后,开始设立点对点的分布式僵尸网络,企图增加正义之师对其的打击难度,而安全专业人员显然不是巧妙地分析了分布式僵尸网络的命令传送特征,利用卧底僵尸来传播假命令,进而“一两拨千斤”,让点对点的分布式僵尸网络自动瓦解,这一招,不仅中断了僵尸之间通讯渠道,还修复了被黑客利用的相关安全漏洞。

顶级黑客们很受挫败,他们要卷土重来,企图东山再起,他们把眼光描向了云计算……

黑客们可以在短时间内创建数量庞大的虚拟僵尸系统,而根本不用费力气感染和摇控终端计算设备,云计算服务商的计算资源极其丰富,计算能力异常强大,而且多数交易是支持自助进行的。

所以,黑客现在不需要拉接或租用带宽线路,更不需要自行架设服务器系统,他们只需要打包好攻击程序,使用偷来的信用卡或Paypal帐户,快速购买云计算资源和创建用于进行网络攻击的虚拟系统。

互联网世界的末日真的快要到了吗?如何有效应对呢?亭长朗然公司Bob说:要有效防范黑客利用云计算发起大规模的攻击,需要多方协同工作。尽管对于个体组织来讲,基于云计算的僵尸网络攻击让人们防不胜防,但是必要的安全防范仍然不可或缺。

实际上,多数中小型组织不会成为顶级黑客们的攻击目标,但这并不表示中小企业可以高枕无忧,相反,中小企业很多互联网应用严重依赖大型的互联网厂家,这些大型的互联网厂商很容易成为黑客们的坚定目标。特别是同样租用云计算的中小企业,更容易受到“云攻击云”的严重伤害。

当人们谈到多方协作打击基于云计算的僵尸网络,往往会认为说起来容易,做起来难。由于利益的关系,某些云服务商和运营商可能并不愿意配合,这就让事情变得复杂,难以解决。最有效的解决方案是加强沟通和协调,不仅仅是经济利益上的平衡,更应该是信息安全意识理念的切磋。

举例讲,甲云计算服务商可能同甲电信运营商关系紧密,乙云计算服务商可能同乙电信运营商关系紧密,甲云计算客户对乙云计算客户发起分布式拒绝服务攻击,造成乙电信网络堵塞,运营商要赚云服务商的钱,云服务商要赚云计算客户的钱,这经济利益要如何平衡?

如果我们深陷进去,冤冤相报,不断以攻击对待攻击,我们终将难以自拔,并且只会造成越来越多的云计算用户、云计算服务商以及运营商变成黑客的帮凶,即使末日尚未来临,互联网世界也必将黯淡无光。

经过多年的发展,原本来管理全球及各地互联网的多数大型组织机构都已经名存实亡,沦为商业型的收费实体,所以,别想对它们抱太多幻想和期望。为什么说信息安全理念的切磋可以在云计算安全上帮上忙呢?这并非起源于人们对云计算及云安全理解的差异,而是多数人根本没有认识到云计算所面临,以及其可能带来的安全威胁。

这无疑是认知和理念层面的不足,要弥补这些,当然需要加强人们的信息安全意识,特别是云安全意识。只有和云计算相关的所有人的信息安全意识达到了必要的水平,顶级黑客们才会遇到“全民皆兵”的有效抵抗,此时,武艺再高强的黑客,也会被群众的大量口水给淹没的。

您可能还想问:为什么要让普通的云用户也了解云计算相关的信息安全基础理念呢?因为他们可能是黑客组织的目标、诱饵、人质甚至是僵尸。同时,他们也是云计算的最大买家,只有普通用户的安全意识得到了提升,云计算的安全才能被服务提供商真正重视起来。

简言之,要拯救世界,防止互联网的未来落入基于云计算的僵尸网络手中,需从人们的信息安全意识教育抓起。

不过Bob同时也表示:教育人们提升云计算安全意识并不容易,尤其是在云计算的用户大多懂些IT,几乎没有IT人会认为自己的信息安全意识水平低下,即使是经历了惨痛的安全事故教训,这些自大的IT人却仍然有可能觉得是自己运气不好,而刻意回避安全意识不够的根本原因。所以说“云计算可能会被僵尸网络利用,进而变成毁灭世界的力量”,并非危言耸听。