今天准备写点东西算是对自己这段时间对云计算安全方面学习的总结。
云安全是什么?
我最早听到这个名词是在2011年和趋势的人聊天,他们在做这个东西,实际上原来这个东西就是一个云端的杀毒软件,瑞星&趋势等等终端安全厂商都是这个概念的收益者,炒概念还是国内比较在行。
之后一大波的厂商对这个立体防御体系进行了诠释和深度解释,基本分为了3方面:
1.终端安全:
基本上都是终端安全厂商,出于对终端安全的解析进行了产品定位,所以你可以看到趋势、赛门、瑞星等厂商的身影,他们的解决方案大都是以agent或无代理的方式提供的,从OS或者虚拟层进行防病毒、当然也有终端防火墙,防僵尸等功能,常见的应用场景为:虚拟桌面安全,私有云安全等等。
作为行业的先驱,这些解决方案都比较稳定,迭代多吗;当然了很大一部分都是在I/O 层面上做文章,网络层面上就稍稍差一些。但最大的优势就是客户之前在考虑云的环境规划的时候大多漏掉了安全,要想补前帐就先要解决终端的问题,你都不能清除原有的病毒,谁还考虑你的解决方案。
2.网络安全:
大家都知道传统安全的厂商里是有一大批做网络安全的,比如:天融信、绿盟、checkpoint、PA等等,随着传统安全设备的销售买点被挤压,利润下降,那就要找个新的噱头要忽悠客户,云安全落入了他们的视线。
网络设备天然的高吞吐,大并发对客户数据中心的数据处理不会造成瓶颈,所以网络安全厂商的应用场景就变成了数据中心整体的安全架构设计,毕竟网络、安全不分家,天然就有在架构上的说服力。所以逻辑就变成了这样,虚拟机是在云上模板部署的,模板是安全的,数据中心是安全的,威胁来自哪里?来自网络
买个网络安全解决方案吧,我们还有下一代防护墙(AV,AB,IPS,URL过滤一个都不能少)。
3. 公有云安全
这部分是最乱的也是最技术的,架构是公有云厂商的,所以网络上的4层以下的问题都可以在架构上解决。每个厂商对自己的VPV(VNET)网络定义不同,基本上都在自己的圈子玩。然后带着前两派的人各为盟主。
特点就是:1. 关注的是最新的技术(hadoop,doker,机器学习,就问你这些传统厂商见没见过?你都不懂搞个毛线)
2. 深入到代码层面(最近的几届云安全大会大家都谈的是架构层面,你要不说个python啥的都不好意思和人家打招呼)
3. 目前在传统应用层面还有欠缺,当然了上公有云的谁没点高追求,谁不是上的应用类型比较标准化(web居多)。搞个WAF就能解决,你们都洗洗睡吧。实际上云安全已经脱离了之初的概念范围,覆盖了和云相关的方方面面,从终端到网络,从数据到用户,单一的厂商基本上不可能提供一个完整的解决方案,而且CSA 、ISO、GB/T 22239.2 – XXXX一大堆的行业标准,总有一款适合你。
通过这三个方面的联合,另加标准的制定,才能确保云计算的立体安全,正所谓:三分归一统,标准定乾坤。
