近日,作为亚太地区信息安全领域最大规模、最专业的年度会议,2015年中国互联网安全大会(ISC)在北京国家会议中心召开。浪潮邀参加本届盛会,与参会嘉宾一道,就当今云数据中心安全防护遇到的挑战及发展进行了深度探讨。其中浪潮在业内首次提出了“云数据中心主动免疫”的观点,更成为了云安全创新思路对碰的焦点。
作为“企业云安全实践论坛”的重要嘉宾,浪潮信息安全事业部副总经理蔡一兵博士在以《可信计算池技术 - - 构建浪潮云计算安全基石》为主题的演讲中首次提到了“白+黑”的云数据中心安全策略。他表示:“云数据中心聚集了海量的应用资源、数据资源、存储资源和计算资源,面临云服务瘫痪和大数据泄露的重大风险,云数据中心已成为网络空间战略防御目标。下一代云数据中心基础架构,将在硬件重构和软件定义的基础上,利用可信计算技术形成‘主动免疫’能力,进而构建云计算安全基石,已成为云计算安全的重要发展方向。
国家高度重视云的安全性 浪潮“白+黑”策略首次曝光
当前,以移动互联网、物联网、云计算、大数据等为代表的新技术蓬勃发展,为整个社会和经济的发展注入了强劲动力,而云计算和大数据技术及产业发展更受到国家高度重视。国务院于今年1月出台了《关于促进云计算创新发展培育信息产业新业态的意见》,明确提出“增强云计算服务能力、提升云计算自主创新能力、探索电子政务云计算发展新模式、加强大数据开发与利用、统筹布局云计算基础设施、提升安全保障能力”等六项任务;8月,《中华人民共和国网络安全法(草案)》出台,多个条款涉及关键信息基础设施的安全保障;9月,最新颁布的《促进大数据发展行动纲要》中再次提及“健全大数据安全保障体系,强化安全支撑。”等三项任务。
针对云安全,国际互联网信息办公室张恒做了题为云计算服务网络安全管理模式探索的主题演讲,他表示:“在互联网+行动计划的推动下,云计算已经成为建设网络强国的重要因素,成为构建服务型政府的创新举措。同时政府是使用云计算面临着和广大云使用者相同的,面临管理挑战和安全挑战问题。政府部门从政策标准到实施,统筹加强政府云服务网络安全管理。制订了相关标准,明确了6个不变,即安全管理责任不变,资源所有权不变,司法管辖关系不变,安全管理水平不变,坚持先审后用不变的原则。并对党政部门云计算服务网络安全进行统一审查,降低云计算安全风险,增强政府实用云计算的信心。政府也非常欢迎企业为网络管理贡献力量。”
而在全面介绍“可信计算池技术”之前,蔡一兵博士同样强调了云数据中心所面临的风险,他表示:“数据中心‘云化’进程在国内越来越热,但由于云数据中心宕机事件、数据泄漏事件此起彼伏,这些已经影响到了用户迁移到云端的信心。云计算基础架构的演进带来了多项安全挑战,在基于新技术进行架构变革中,用户单机环境下的传统安全技术已无法适用于云端,必须要基于新安全理念进行云端防御。因此,在云数据中心已经成为网络空间战略攻防目标的情况下,下一代数据中心融合架构将包含‘硬件重构+软件定义+主动免疫’这三个关键要素,安全免疫将高度融合到系统架构中。”
在演讲中,蔡一兵博士阐述了“白+黑”的安全策略,这不仅是浪潮针对云数据中心的安全策略重大创新,也是业内首次对云基础架构安全策略有效性的全面整理。他指出:“白安全策略主要是面向合法者,通过‘完整性度量+最小权限+白名单’等安全机制或技术,来识别并控制有限的合法者集合;而黑安全策略则面向的非法者,识别并控制有限的已知攻击集合。对于云数据中心来说,两者各有优劣:白安全策略难以解决合法者的非法行为的问题,黑安全策略难以解决非法者未知攻击的问题。所以要实现主动免疫,“白+黑”两种安全策略要紧密结合,不能割裂来看。“白+黑”关系,就如同中国太极图。白是基础,要从底层硬件开始,只有这样才能有效抵御硬件层面的非法控制和更高级的、有组织的APT攻击。”
三层信任链构建可信计算池,“主动免疫”能量巨大
就如蔡一兵讲到的,“免疫”一词的说法来自云安全安全策略中普遍使用的“白名单”技术。而浪潮通过不断创新将其与主机硬件和虚拟技术进行了再次融合,以可信芯片为根,从系统加电开始,逐层向上提供完整性保护,构建操作系统、VMM、Guest OS和顶层应用的软硬一体化信任链,为云数据中心提供了从“被动”到“主动”转变的防御能力。
“近几年,中国的可信计算产业蓬勃发展,从技术标准到产业生态环境等一系列条件都已基本具备,而现在正是将其规模化的良好时机。”,蔡一兵博士表示,“从单机可信到计算池可信,是浪潮近几年主攻的技术方向。计算池可信技术,纵向要解决覆盖服务器硬件、虚拟化、Guest OS三层的虚拟主机信任链构建问题,横向要适应虚拟主机迁移过程信任度量和动态管理问题,整体上还要适应大规模、弹性扩展、管理自动化的云计算管理要求。”
软硬件一体化解决方案 展现浪潮信息安全实力
本届大会设立了百余场的专业演讲,信息安全界的“大佬们”不但深入探讨全球信息安全最新发展趋势,更借助这个平台分享了最前沿安全技术研究成果及最佳实践。
作为中国主机安全的第一品牌,浪潮在本届盛会上全面展示了云主机安全可信解决方案V2.0。浪潮软硬件一体化云主机安全整体解决方案由可信计算池解决方案和云主机安全解决方案构成,覆盖了云数据中心IaaS层的服务器硬件、虚拟化软件及操作系统等部分。可信计算池解决方案主要面向云服务商IaaS层计算安全,由浪潮可信服务器、计算池可信管控软件、浪潮服务器虚拟化软件组成,能够按照云租户的需求,提供具有可信免疫能力的虚拟可信服务器。云主机安全解决方案主要面向云租户Guest OS安全,由适用于私有云和行业云的大中型企业及政府客户,国内主机安全市场占有率第一的浪潮主机安全增强系统SSR产品,以及适应于公有云小微企业,全免费的“云戟”网站安全服务组成。
此外,会上蔡一兵博士还就浪潮可信服务器在安天公司的追影威胁分析系统、洛阳银行的关键业务底层平台可信迁移的成功应用,以及在警务云计算软硬件一体化安全保障应用等典型案例做了介绍。其丰富的内容和颇具创新的观点给与会嘉宾留下了深刻印象,使“企业云安全实践论坛”成为关注的焦点。
