IBM云计算安全顾问万涛：云安全建设路径与最佳实践

IBM大中华区云计算服务部首席安全顾问万涛带来了《云安全的建设路径与最佳实践》的分享。他指出对数据安全和私密性保护的担心是最主要的但并不是唯一的。如何利用智慧的安全服务窗口云来创建一个安全的云满足未来在云环境下安全风险的不对称以及过去不对称的局面？最终用一种智慧安全的方式，更好的汇集安全的资源，应对未来还是可能不断增长的无限的安全风险问题。通过部署在服务对象的云端接入安全设备动态监控各类云的安全状态、采集安全事件相关信息并进行关联分析。

以下为演讲实录：

大家好！关于云安全话题已经讲了很多，从92年开始做安全，到现在十多年了，我认为其实所有的安全从安全的演进史来说安全是后话，只是现在具有了更多的经验和积累之后，我们现在在云和不云的阶段现在开始考虑它的安全问题。这是因为首先在没有云之前，有人认为我们已经做的安全了，隔从过去开始到互联网来看安全一直是道高一尺，魔高一丈的模式。

特殊用户对云计算安全的担忧

大家一直有一个想法就是因为云，所以更不安全了。但是实际上在没有云之前，我们说也没有安全，而安全之间的这种PK跟博弈，从过去的这种小安全，到随着互联网2001年到2002年这个黑色经济或者是黑客经济的兴起，已经出现了这样一种势头，就是攻击出现了产业化。威胁的数量、复杂度，还有攻击的自动化、模式是随着我们互联网经济的模式而去演绎的，所以没有云之前，这个安全问题大家已经是一个非常困扰的问题了。而且可以这样说，在没有云之前，安全是无解的，以我这么多年自己的体会来说。因为我们过去用的是有限的安全手段应对无限的安全问题，你在做安全投入有一定的投入，但是做安全的时候，没有遭到攻击就不容易判断。所以IBM有一个关于安全的说法是说，什么是安全？就是说安全性不断降低风险的过程，最后查出的风险是可以被接受。对于残余风险非常难界定，所以在以往的安全上来说，由于安全建设的速度和系统多样性，所带来复杂性产生了所谓有门就会有缝，这样带来安全问题最难解决的问题。应用安全就会涉及到你所有上线的系统，管理、内控都会有问题，站在过去的角度来说，安全是以你有限的人力资源和离线的安全来解决无限的风险，这个是无解的。在没有云之前，其实是没安全的。

在云上面，往往大家最担心是数据的私密，这是因为我们想当然想到，云就是没有边界，没有边界大家数据混杂在一起。不管说它的形态如何，云最主要的属性特点就是边界是模糊的，边界模糊大家就会对安全通常产生第一诉求就是隐私性的保护诉求。这里面产生了很多这样的问题，包括今天中国特别泛滥个人隐私性的、企业隐私的泄露，由于这些问题会导致你对云的不信任。其实真正到云安全，这个话题看起来很大，其实我们有很好的方式来理解，因为特殊用户对于云，云本身有特殊的属性，你对云安全的担心并不完全是一致的。如果过去安全是发散针对性点对点的安全，你已经知道这是一条永远没有答案的路的时候，那么到今天，云我不认为它是一个概念，我也不认为它是绝对的创新，但是它的确是一种模式的改变。这个是一个换全行业的改变，所以你今天谈行业是应该换一个思路的时候。

云实践探讨

我自己研究安全、严重攻击已经很多年了，我知道到今天从信息来说，可以说它是安全的。安全不要忘了一点，因为有一些企业有非常严控性的安全，这个都是你付出成本的代价，不仅仅是技术，还包括企业文化，包括你通过严控产生其他方面的成本。现在的商业模式的变化是非常快的，大家有时候做安全的时候不要忘了，你的本质是什么。你的本质是你要适应今天变化的商业模式和新兴的技术。大家都开使用iPad了，都开使用iPhone，你一定要大家老老实实用PC，IBM现在可以支持员工用手机收邮件，但是你要安装一些东西，你要适应大家移动化办公，还有今天新技术模式，这样对过去安全思维产生很大的挑战。过去的安全思维叫居安思危，未雨绸缪，他都是把安全的东西作为安全工程师一定要调整观念，他会把安全话题放的很大，会把安全的威胁度会给你讲的非常严重，会给你很多的恐怖感，讲很多的话让你觉得一点隐私都没有，从道理上没有错，但是我们在云上面，如果你也这样做的话，那我认为，这方面不会有问题。因为首先云的属性它将极大的影响信息安全，因为云的属性有多种，再一个就是虚拟化，就是没有边界的行为。虚拟化带来安全的复杂性，是跟你的业务，你在云上跑的业务也是有关系的，从这个层面来说，你要去考虑新的模式和路径的变化。比如说关于像架构上的调整，比如说一个物理服务器上可能存在多操作系统的环境，系统之间物理和虚拟的磨合下，在这种情况下你要重新换一种模式。所以今天的数据中心来讲，看到的安全无非是一个你看一下安全日志、看一下Log，看一下攻击等等。当你这个IDC，这个间隔不能用标签说这个是甲公司，这个是乙公司的时候，当出现一个安全事故的时候，你要迅速找出来怎么办？所以你关心可能谁来备份，而不是有没有备份。这种情况审计怎么做？在云计算下首先风险发生了变化，如果你还带着非云环境下的风险意识和概念理解今天云计算可能就得有更新了。这样不是说绝对有问题，因为现在有很多的云可能就是用WEB，今天可能划分很多的云。过去你是通过控制来强调的，其实核心就是强调控制。比如说跟家里一样，小区从门禁到单元的门到你家的门口，到防盗网一层一层做，包括加上摄象头，加点红外不就是这种机制吗？但是到了云的环境下，由于们的边界不清楚，在这个时候，另外它复杂性加大了以后，你不能再用过去线性思维来做了，所以更少的控制，更便利的安全管理可能是你要追求的。你不可能做无限的资源投入做别的。所以很少控制加数据安全，加可靠性，加合规、加上安全管理可能会好一点。比如说新浪微博，有可能攻击以后产生别的别的应用。从对云的期待来说是不符合的，所以你想用一人难测百人异的问题你是很难做的。所以从组织上来说，它先天不具备让安全成为你的统领标准这个KPI，虽然说我很重视安全各个方面，但是实际上组织上不能保证，这样使你的安全策略不能自上而下进行，这就是好像2005、2006年关于终端安全的热潮，认为只要把安全最后一个问题解决了就安全了，因为这是从表象出发。可能一个客户端访问中了木马可能带来很多的问题，看起来是这样。

我们看看这个云安全发生了一些变化，边界安全不见了，网络安全也藏起来了，更多从数据、从调查这个角度来去看，所以未来的安全在云下的安全，我相信更多如果说要概括一个词的话，应该就是模拟者，这个模拟者，不是我们传统意义上的模拟者。

首先你要知道自己的风险在哪儿？第二个你由于边界模糊了，你要把身份证辨认清楚，获得通过再加上授权，也做了很多年，比如说像移动的4A。但是我觉得还有五年密码的模式必须发生革命，而且现在随着大量的产生的隐私数据出现，密码库一定会成为一个社工网络化。比如说像去年先是CSDN，再就是天涯的，比如说深圳的身份证号、信用卡等等，比如说我手有一千万用户名，我跑新浪用户名，我可能跑一百万，不是很匹配，我可能给新浪跑出一百万同样跟它匹配，密码如果同是天涯密码，我就把新浪密码跑出来，之后衍生出来的是撞出来的。今天手里有这么多资料，如果通过其他途径得到隐私数据，再做安全，你说咱们撞几亿网民，你说撞出几亿网民真实资料是没有问题的。所以在云计算下，尤其是业务应用的云计算，有敏感数据的话，他的身份认证应该发生变化，所以我们认为未来生物认证的辨认模式，比如说人脸、指纹等等可能更多应用在这个环节上面，现在已经有很多这样需求出来了。当然核心云架构数据的问题，各种云的服务商、运营商会积累各种各样的数据，这种数据的隐私性或者边界性怎么去做？这是一个主要的问题，那么这个问题，其实可能反过来会在后一个环节，去更多得到考验。一个是云下应用程序的安全性。过去在单点环境下的安全性，你可能通过一些隔离的手段，或者是通过前面一些防护来做。但是未来在云下，大家更多用的是应用本身，你面对的应用，客户根本不关心你三大部分，他要的就是一个直接应用。这种应用下，就应用本身的安全，就会成为一个最大的风险。就是因为大家直接面对，因为过去来讲，可能加公司用的服务，可能只是甲公司这类公司在用，现在尤其放在公共云的模式下，意味着任何人都有这个机会来用，就可能产生这样的风险。所以Web这种应用下的安全，包括变异、包括过程，包括应用验证，都会产生风险，所以一些WAP手段就更多了。过去我们是考虑Windows的方式，基本都是用的Windows思想，这种时候大家觉得搞一个虚机做符合，这种复杂性的环境，借助系统本身的安全以为可以。因为里面边界模糊，对于黑客来讲也比较模糊，其实不是这样的，其实这个人家可以一步找到重要的地方。过去黑客打了A打不了B，可能存在这种情况，但是现在不是这样了。另外除了操作系统以外，整个作业环境，比如说ITC用云的方式来做，这种边界就比较模糊了，在这种情况下，提供云助力的方式，现在都通了，当然不用说这是安全本身的。如果作为ITC经常有人进出，所以开放性比较强。到云环境下，大部分不需要做运维了，不需要到本地去，这是一个优势，所以要把安全控制，所有能接触的风险，风险比以前提高了，以前只是开一个机位，现在进去都开了，所以这种情况下，你要考虑物理上安全怎么控制。(责任编辑：admin)