云计算改变了计算资源的服务模式,提供大规模计算能力,弹性的部署模式,具有高可靠性,同时大幅度降低成本。网络安全技术也要相应转型,满足云环境下的保障需求。
本次阅读的材料由云安全联盟(CSA)发布,由CSA大中华区研究院进行翻译。在公众号回复“CSA4.0”,获取中文翻译版下载链接。
云计算相对于虚拟化的区别在于:虚拟化将资源抽象化,但是通常缺乏将资源组合及按需分发给用户的调配,一般依赖手动流程。而云计算是多租户的,各租户共享资源池,但彼此隔离;多租户不仅应用于不同组织,还用于单个业务或组织中的不同单元。
可以说,虚拟化是云计算的基础,虚拟化安全中的各项措施对云安全都有重要意义。但是做好虚拟化安全不代表做好云安全。云计算的弹性、便捷性、高可用性等新的技术特点都带来了相应的安全问题,需要针对性的安全技术和管理策略来解决。
在云环境下的风险管理基于责任共享。平台和租户承担各自的风险。在SaaS模式下,平台承担风险更多;在IaaS模式下,租户承担风险更多。租户承担的安全风险是传统安全,而平台承担的风险是云安全。
在企业安全的环境下,平台和租户安全的承担主体往往都是企业的网络安全部门。
在云环境下,安全技术呈现出两面性:
好的方面,网络虚拟化(SDN)使得隔离策略可以更加灵活便捷部署;不可变负载可以基于镜像更新的方式打补丁,而不是基于实例,可保障业务连续性;不可变负载由于实例不可改变,更容易实现进程黑白名单。
坏的方面,安全工具依赖虚拟设备,相对于传统硬件,虚拟设备有效性成为瓶颈;安全工具同样运行在云环境,带来性能开销;安全工具和安全策略必须适应云计算的弹性、灵活性和高速变化等特性,动态调整,应基于每一个负载而非网络实施云防火墙;计算资源释放时可能导致敏感数据泄露以及安全日志丢失。
安全即服务主要分类:身份、授权和访问管理服务;云访问安全代理;web安全网关;电子邮件;安全评估;web应用防火墙(waf);入侵检测/防御(ids/ips);安全信息与事件管理(siem);加密和密钥管理;业务连续性和灾难恢复;安全管理;分布式拒绝服务保护(anti-ddos)。
另有一点想法:
云计算带来新的IT架构。传统安全技术需要深入新架构,一方面安全工具要基于云环境部署,另一方面代理(Agent)和探针等技术也要在云环境模块中部署。
微信关注“仙人掌情报站”,获取更多原创文章
欢迎转载并联系仙人掌情报站
