云计算在未来将成为影响整个IT行业的关键性技术,而云安全则是云计算能否成功应用的关键。如果说云计算是IT产业的春天,那云安全就是安全产业的春天。近年来,国内安全产业在产业规模上始终没有大的突破,而借助云计算的东风是否能改变这一现状?
矛盾:行业云应用前的产业踌躇
在云计算面前,信息安全产业似乎正陷入一个矛盾的境地:一方面,企业因为安全问题而对云计算应用敬而远之;另一方面,由于缺少用户,云安全产业暂时无法迎来行业迸发的契机。
云时代:从云安全到安全云客户推荐云计算解决方案时,他们总是对安全抱有迟疑,特别是在关键数据和隐私方面,希望实现‘云’可管可控,”一位云计算上市公司高层告诉记者,“如果安全的问题没有解决,那么‘云’将无法在现实中落地。”
无独有偶,上述观点在赛门铁克公布的《2011云端现状调查》(2011 State of Cloud Survey)中得到了印证,该调查重点关注企业如何部署云计算以及如何处理云计算给IT管理带来的变化等。调查显示,企业对于云安全问题持矛盾态度—— 大多数企业将安全性同时列为迈入云端的最大担忧和首要目标。
“保障数据安全,是实现云计算环境的根本”,赛门铁克企业产品和服务集团总裁Francis deSouza表示,“如果安全性无法满足,那么迈入云端就没有任何意义”。尽管有一系列的相关计划,许多公司仍表示他们尚未做好部署云计算的准备。只有少数受访者(15%~18%)认为其已经完全做好过渡到云计算环境的准备,而大约一半受访者声称其IT部门尚未做好准备。
造成上述局面的部分原因在于经验的缺乏,因为仅有25%的IT团队拥有部署云计算的经验。因此,大多数企业在寻求外部资源的帮助。事实上,在部署混合基础架构或PaaS时,有大约3/4的受访者说他们会求助于增值经销商(VAR)、独立顾问、专业服务机构或系统集成商。显然,行业用户们,在云计算的风险与效益之间在进行着权衡。对此,IDC安全产品服务部门的研究总监Charles Kolodgy表示,云计算最大的风险之一源于其性质:它允许数据被传送和保存在几乎任何地方——甚至分开保存在世界不同位置。尽管数据散布帮助使云计算具有成本和性能优势,但不利之处是企业信息可能保存在隐私法松弛的存储系统中。
安全厂商必须打消企业的这种顾虑。面对此种情况,在此前举行的“第三届中国云计算大会”上,多位与会政企人士和行业专家曾强调,解决云安全问题是促进云计算应用的关键,安全产业在技术上必须先行一步。
当然,信息安全行业也看到了一些领域的曙光。例如,在金融和互联网等领域,云安全的市场需求已经出现。纽约投资银行金融服务机构Cowen公司 CIO Daniel Flax依靠云计算实现公司销售活动自动化。尽管他对云计算降低前期费用、减少停机时间和支持额外的服务的潜力感到满意,但他承认他必须努力了解这项新兴技术的安全弱点。他说,“安全是我们必须直接面对的挑战之一。”
据悉,Flax使用Salesforce.com公司的Force.com平台实现Cowen全球销售系统自动化。他说确保数据避免存在风险的目的地的最佳办法是与一家是上市公司的云厂商合作,由于是上市公司,因此法律要求该厂商披露它是如何管理信息的。这也就意味着,云产业链间各环节结合必须上升到一个新的高度。
先行:安全产业的云梦想
就在云计算概念的如火如荼之际,这项技术也如同一针催化剂给信息安全产业带来了新的发展契机。来自IDC市场调研机构数据显示,云计算服务将在 2013年达到整体IT消费的10%,年收益高达442亿美元,5年内年平均增长是26%,这是传统IT行业增长速度的6倍。而Frost & Sullivan市场研究机构,在2011年年末,对亚太区6个市场,300个大型企业,500人以上的大型企业的IT决策人做了一项云计算的调查。
调查数据显示,55.3%的人担忧云安全问题,尤其是数据安全性。毫无疑问,云计算的蓬勃发展,已经让云安全已经上升到产业的高度。
实际上,当IBM、微软、VMware这些行业龙头在中国布局云计算解决方案时,已经将云安全产品作为重要考量。其中VMware和趋势科技之间的合作尤为突出。除此之外,记者了解到包括星网锐捷、卫士通、华东电脑、中国软件在内的多家公司也都推出了主打云安全的产品。
卫士通市场总监陈澜告诉记者,卫士通此前已分别与万国数据等IT服务商以及国内大型电信运营商展开战略合作,涉足面向中小企业和个人的云安全领域,但商业模式是目前仍在探讨的主要问题。考虑到中小企业这部分市场空间巨大,卫士通边做边探索,未来不排除独自涉足这一领域。
另据星网锐捷产品经理王圣魁介绍,为解决针对企业级客户的云计算数据中心的信息安全问题,星网锐捷特别推出了的下一代防火墙系列产品,这在业界目前处于领先地位,已在阿里巴巴等公司应用。而中国软件的“中软红云安全系列产品”则是中软“红云计划”的核心之一,包括云安全存储于应用系统、云端安全统一管理系统、云漏洞扫描与安全配置系统以及虚拟化云安全网关四款产品,已在上海浦东软件园、芜湖市云计算城市公共服务平台等得到应用。
从产业结构上来看,云计算也改写了信息安全领域的产业链条,包括了云安全环境,云安全设计,云安全部署,云安全交付,云安全管理,再到云安全咨询,整个云安全产业链条已经形成完整闭环。IDC 报告指出,云安全性包含至少三个层次,一是制约用户接受云计算的信用环境问题,这是云计算得以广泛应用的基础,也是推广门槛,然后才是云计算的应用安全。最后是,利用云计算扩展安全服务。
对此,Fortinet中国区技术总监李宏凯表示,“云安全”是由保护实体和服务网络两部分组成。相对应的,在保护实体部分要有完善的多样化威胁的检测能力,如邮件安全,网页安全,数据安全,系统安全等比较清楚的分类保护选择,这样能让用户对保护实体的安全防御方向和内容有比较清晰的认识。另外,在保护实体和云网络的服务通信方面应该具有一定的可视性,比如邮件安全、系统安全、网页安全等安全套件的云网络连接状态等。
事实上,安全云网络的健壮性和自我安全性是厂家服务网络的一部分,这是一个基础组成部分,是一个前提。需要强调的是,当用户认识到使用的保护实体在不同威胁上的一致化防御效果,那么自然就容易接受触摸不到的那部分云端服务群组。
趋势:云安全下的安全云
云计算在给安全带来挑战的同时,也给予安全一个新的发展命题——安全云。
未来杀毒软件将无法处理日益增加的恶意代码,来自互联网的威胁已经从病毒转向了木马和恶意代码,这意味着杀毒软件仅建立本地病毒库样本是完全不够的,这需要通过网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网也就会越安全。因此,对于安全厂商而言,云计算的引入可以极大地提升其对病毒样本的收集能力,减少威胁的相应时间。
目前,我们看到包括趋势科技在内的一些安全云产品已经可以实现“网关——终端”这部分的病毒防御。通常,守住网关就意味着守住来自互联网70%到 80%的威胁,但同时仍然有20%的威胁是通过其他途径进入企业网络,其中就包括终端。因此,解决终端网络环境的安全问题变得极为重要。趋势科技的安全云实现终端安全防御的机制就是,其文件信誉技术依托庞大的云端威胁数据库,用户在访问文件前查询该文件的信誉,阻止恶意文件的下载访问。
据悉,目前趋势科技拥有超过34000台服务器组成的云端,可以在毫秒间完成查询,帮助企业实现0时差病毒码更新,0时间病毒码部署,0增长资源占用的三“0”防护。因为云端和客户端随时通过互联网交互信息,所有计算放到云端上进行,这大大节约了成本和时间,有效的控制了病毒传播。
趋势科技方面表示,要想建立“安全云”系统,并使之正常运行,需要解决四大问题:第一,需要海量的客户端(云安全探针);第二,需要专业的反病毒技术和经验;第三,需要大量的资金和技术投入;第四,可以是开放的系统,允许合作伙伴的加入(不涉及用户隐私的情况下或征得用户同意)。这意味着杀毒软件行业将加快整合,并出现强者恒强的局面。
当然,相对趋势这种老牌安全企业,就安全云这一新兴领域也衍生出无数商机。这也将成为国内自主品牌展现实力和创新能力的机会和舞台。上海林果实业公司是一家以动态令牌起家的IT公司,其术研发负责人陈孟英博士表示,林果正在规划未来为企业用户及消费者提供基于身份认证的“小”云服务平台。
陈孟英认为,云就象一个无盘工作站,“我们应该做什么样的云呢?从身份认证角度来看,我们可以建一个身份认证的云。大家手头上都有各种各样的卡,都有密码。邮箱也有密码。一个人拥有无数的密码,极其考虑人的记忆力。一张令牌可以管理多家银行登录密码管理。从云端为个人用户提供简单易用易于管理的第三方认证服务。其实,身份管理被认为是信息安全技术中的核心组成部分。首先建立信誉,从游戏、邮箱、博客、微博、即时聊天工具等需要认证,这些对安全度要求不太高的领域做起”。
未来,陈孟英希望身份认证这块小“云”,能将各家银行的认证体系集中在一起。不过现在最大的问题是,网络上的身份管理难题丛生,不同云服务提供商有不同的管理机制,帐号、权限等身份很难统一,因此制定安全策略的难度可想而知。此外,在法律层面,从事这一领域内容公司资质的认定也还属空白。