BIM建筑网6月3日至5日,第七届中国云计算安全大会于北京国家会议中心举行。随着云技术被不断运用在各个领域,其面临的安全风险也日益凸显。360副总裁谭晓生在6月4日举行的全体会议中表示,云计算安全问题更甚以往,甚至已对整个云计算产业链构成了威胁;企业应加强纵深防御,联手出击谋求共赢。
云计算安全成共同阴影
有关数据分析表明,2015年全球云计算市场预计可达1300亿美元,年增长率为20%左右。但谭晓生认为,云计算兴起的背后潜藏着重大的安全隐患:虽然云计算较传统技术更为发达,但传统安全问题却并未解决,而且还诞生了新的攻击面,增加了企业防范难度。
其中很重要的一点就是云计算系统本身安全性的不足:由于云技术尚未成熟,故系统平台往往存在更多的漏洞。从12年Vupen团队发现的Xen漏洞,到潜伏11年、近日才曝光的“毒液”漏洞,大量的案例都在证明,“年轻”的虚拟化系统、云计算管理平台依然脆弱。
同时云计算的复杂也为安全性验证带来了隐患。在谭晓生看来,云计算组成与P/NP类似,在所有安全问题没有完全暴露出来前,只能做猜测性质的防御手段,就像永远无法证明N与NP恒等一般。
除系统问题,人为操作也成为影响云计算安全的重要因素。由于云端数据丰富且联系紧密,(黑色)数据源的触角能延伸到更深,从而对云计算单点突破的规模效益也会有显著提升。内部人员操作失误或者有心做恶的话,将会引发极为恶劣的影响,一如此前的携程宕机。
企业应能力共享以求共赢
面临着日益严峻的云计算安全情况,360副总裁谭晓生认为,云企业间应联手应对,而非单打独斗或者互相拆台。而谈及具体的防范手段时,谭晓生表示“世上没有攻不破的城墙”,云计算安全应由墙式防御转为塔式防御,以加强防御纵深。
谭晓生继续介绍,云计算的纵深防御可以从宿主机OS安全加固、KVM/Xen/VMWare等安全防护与加固、IaaS安全管理系统、行为审计、虚拟机主机安全防护、主动安全扫描、设计攻击陷阱、采用第三方威胁情报服务、专业安全团队全天候运维等十二种方法入手,在多维度设立防范措施。
但如此复杂的云计算能力以及庞大的数据库,已远超一般公司的控制范围。谭晓生表示,因此360成立以“让企业安全用云”为使命的360云事业部,在为用户提供庞大数据之余,还推出了360鹰眼、360磐云等多款安全产品,以弥补其在防御纵深上的不足。
“云服务不是零和博弈,我们云服务企业应当联合起来共同解决云计算安全问题,以追求合作共赢。”谭晓生如是祝愿。
