第八屆中國云計算大會于2016年5月18日在北京國家會議中心正式拉開帷幕。本屆大會的主題為“技術(shù)融合,應(yīng)用創(chuàng)新”,吸引了眾多來自云計算與大數(shù)據(jù)領(lǐng)域的優(yōu)秀服務(wù)商參展,同時大會主辦方也邀請到了許多業(yè)界大牛作為嘉賓蒞臨演講。我們在大會進行期間,有幸采訪到來自新致軟件的云計算事業(yè)部總經(jīng)理田奎先生,并圍繞其在本次大會中的演講主題“構(gòu)建安全的云計算平臺”進行了簡短的采訪。
以下我們將對田奎先生的采訪進行了整理,在這里與大家一起分享:
先簡單地介紹下云計算平臺的安全需要由哪幾個層面組成?
云平臺的基礎(chǔ)架構(gòu)安全我們需要將它分成兩個方面來解構(gòu)。其一是云平臺整體架構(gòu)安全,整體架構(gòu)安全是由物理架構(gòu)與虛擬架構(gòu)兩種組成的,這就包括了統(tǒng)一的網(wǎng)絡(luò)架構(gòu)、物理網(wǎng)絡(luò)平臺安全、防Ddos攻擊安全以及虛擬網(wǎng)絡(luò)平臺安全等一系列的安全內(nèi)容。而另一個層面就是云平臺的虛擬化安全,其中則包括CPU、內(nèi)存、存儲和網(wǎng)絡(luò)四個部分的虛擬化安全。說得細(xì)一點,拿虛擬化安全中的網(wǎng)絡(luò)安全來舉例,虛擬化其實對網(wǎng)絡(luò)安全是存在巨大威脅的,虛擬機間可能通過內(nèi)存而不是網(wǎng)絡(luò)進行通訊,因此這些通訊流量對標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全控制來說是不可見的。而這時我們就需要通過云平臺運維管理,采用有效的手段使云平臺上的所有環(huán)節(jié)都是可視化呈現(xiàn)的,以便我們進行監(jiān)測與迅速反應(yīng)。
現(xiàn)在,越來越多的個人和企業(yè)都開始接受并使用云,但是用戶的數(shù)據(jù)安全是否能夠得到絕對的保證也成為了熱議的話題,您對此有什么看法?
云平臺上的管理訪問都是通過互聯(lián)網(wǎng),而不是傳統(tǒng)數(shù)據(jù)中心模式中堅持的受控制的和限制的直接或到現(xiàn)場的連接,這自然會增加風(fēng)險和暴露,所以就要求對系統(tǒng)控制和訪問控制限制的變化進行極為嚴(yán)密的監(jiān)控。目前行業(yè)內(nèi)對用戶數(shù)據(jù)安全的保護必須要符合這幾點:1、用戶數(shù)據(jù)安全隔離 2、用戶數(shù)據(jù)存儲安全 3、用戶數(shù)據(jù)訪問控制安全 4、用戶數(shù)據(jù)傳輸安全。當(dāng)然除此之外,肯定還需要必要的保密協(xié)議等等以保證云服務(wù)商自身不會對客戶的數(shù)據(jù)進行權(quán)限外的處理。
那么從整體的角度上來說,我們?nèi)绾瓮ㄟ^云平臺運營管理來保證其安全性呢?
在云平臺運營管理中每個服務(wù)商肯定都會有一套相應(yīng)的標(biāo)準(zhǔn)化流程的,我簡單地說下我對云平臺運營管理流程的一些看法。從用戶管理的角度來說,云服務(wù)商應(yīng)該對用戶帳號進行集中維護管理,為集中訪問 控制、集中授權(quán)、集中審計提供可靠的原始數(shù)據(jù),并且要建立統(tǒng)一、集中的認(rèn)證和授權(quán)系統(tǒng),以提高用戶訪問的安全性。在安全審計方面,應(yīng)該建立安全審計系統(tǒng),進行統(tǒng)一、完整的審計分析,通過對操作、維護等各類日志的安全審計,提高對違規(guī)溯源的事后審查能力。當(dāng)然一個完備的安全運營策略及安全維護規(guī)章要求肯定是必不可少的。最后,就是應(yīng)急響應(yīng)這一塊,我們云服務(wù)商肯定需要制定數(shù)據(jù)中心安全事件應(yīng)急響應(yīng)機制及流程,包括安全事件的等級劃分、處理流程、事件上報等規(guī)范要求。
您跟我們分析了很多關(guān)于云平臺管理安全的相關(guān)內(nèi)容,我們也對云平臺管理安全方面有了一定的了解,那么您能給我們舉些詳細(xì)的例子讓我們更方便我們的理解么?
其實,在新致云的日常監(jiān)控中其實發(fā)生過這么一件事情,有一天新致云監(jiān)控平臺通過監(jiān)控發(fā)現(xiàn)外網(wǎng)的機器發(fā)出驚人的syn 半連接,因為我們前期通過防火墻部署過syn過濾數(shù),流量在進入到我們真正的服務(wù)器前都被我們的流量清洗設(shè)備過濾了,然后將干凈的流量送到了真正的被攻擊服務(wù)器。其實黑客攻擊的是我們在各個數(shù)據(jù)中心部署的CDN網(wǎng)絡(luò),CDN中的流量檢測設(shè)備檢測到后,送給清洗設(shè)備,清洗后的流量就送給攻擊目標(biāo),這樣就減輕了攻擊目標(biāo)的壓力。事后,我們統(tǒng)計下來 ,這次我們的清洗設(shè)備擋住了100Gbit/s 攻擊。
可以看出我們的云服務(wù)廠商是真真切切地將云安全視為云服務(wù)環(huán)節(jié)中的重中之重。
我們大家都知道新致云可以說是業(yè)界唯一一家兼顧IaaS、SaaS、PaaS服務(wù)的云服務(wù)提供商,相應(yīng)地,對云安全的要求自然也會更高吧?
這個是肯定的,在新致云建設(shè)初期,我們就著手建立了通過硬件防護和軟件預(yù)防與事后追蹤機制,同時也在積極準(zhǔn)備加入云安全聯(lián)盟,后期我們將提供給用戶全軟件方式的安全保障機制,這樣用戶可以更加靈活,無限擴展性地使用云安全產(chǎn)品,降低用戶使用的門檻。另外新致云也建立了強大的數(shù)據(jù)中心監(jiān)控體系來實時地監(jiān)控數(shù)據(jù)中心的運行狀態(tài),保證用戶的使用安全。后期的話,我們主要通過通過開放軟件防護來提供給用戶自已選擇和使用,同時加入云安全聯(lián)盟,力求和業(yè)界與用戶共同建立強大的安全體系。
演講嘉賓簡介:田奎,在2008年畢業(yè)于東華理工大學(xué)計算應(yīng)用技術(shù)專業(yè),碩士學(xué)位。現(xiàn)任新致云計算事業(yè)部總經(jīng)理,主管新致云平臺研發(fā)、新致云數(shù)據(jù)中心建設(shè)以及云平臺相關(guān)產(chǎn)品的研發(fā)工作。2009年至今,始終致力于與虛擬化、大數(shù)據(jù)、云計算技術(shù)相關(guān)的研發(fā)和管理工作。
在運軟網(wǎng)絡(luò)科技(上海)有限公司,負(fù)責(zé)虛擬化、云計算領(lǐng)域的技術(shù)開發(fā)。其參與開發(fā)的Desktone項目后被vmware收購;2012年,正式進入云計算行業(yè),曾于上海賽為信息技術(shù)有限公司就職,負(fù)責(zé)ovirt私有云的研發(fā)與管理,同時負(fù)責(zé)openstack的桌面云研發(fā)與管理;2015年至今,任新致云計算事業(yè)部總經(jīng)理一職。