王勇:感谢主办单位、感谢李冰主任的介绍和今天各位来宾。我在这里跟大家来分享一下,我们紫光云在安全方面的一些布局和思考。

王勇-1

大家都知道当前网络安全的攻防形势是非常复杂的,安全是数字化转型的基石,安全同时也是云服务的基石,可以说没有安全就没有云,当前的安全形势日益严重,呈现出专业化、国际化、商业化和移动化的特点,首先攻击源来自于国际化,国家级的基础设施容易遭到各种各样的攻击,跨国实施的攻击难以追踪,因为只要上了云、上了网基本上没有国界。攻击手段专业化,黑客组织可以精心的利用各种各样的漏洞实现自动化的攻击,还有这种长期潜伏的攻击的方式,再加上各种混合的攻击方式的组合。

这里我可以举一个例子,2010年的时候,谷歌当时就遭受了谷歌历史上相当严重的一次长期的潜伏攻击的组合,我之前在硅谷谷歌总部工作了10年的时间,主要负责安全和大数据相关的工作。2010年,谷歌通过内部自查的方式实现,谷歌员工内部Windows电脑的工作台通过了非常复杂的方式埋下了木马,有一个非常非常严重的事故。这个事情发现之后,一夜之间所有员工个人笔记本电脑全部由Windows换成了苹果的或者其他的,第二个必须通过其他的方式登录到生产环境里面去,大家可以看到哪怕像这种技术型国际型的大型公司,也非常容易受到这种有组织的大规模的混合型的攻击。攻击的目的往往具有非常明确的商业化目的,这背后有大量利益的驱使,包括敏感信息的货币化。今天在区块链和比特币的发展下,黑客通过攻击用户的电脑,能够把电脑变成肉体。攻击的载体也逐渐偏向移动化,包括物联网设备,成为黑客攻击的新的一种媒介,移动终端的安全现状也是不容乐观的。

可以看到今天对于各种各样的云,企业或者云厂商这种云安全的需求可以有各种各样的需求,目前所有云类型第一关注就是合规,第二是安全的可视化,第三是防护级别一致,至少不低于本地局域网的防护能力,如果云的防护能力低于本地局域网,对于企业或者政府来讲是没有动力去上云的。公有云额外关注敏感数据的分布,租户的有效隔离还有云资源的有效利用。私有云由于不能做过强的隔离措施,所以更加关注敏感数据的分布,专有云第一,会关注租户的隔离,因为会涉及不同组织的租户。第二,它会关注资源的管理,因为会涉及过度申请,导致运营成本的增加。

我们认为云安全随着技术的发展,已经改变了刚才很多人提到的信息安全的这种行业的布局或者发展方向,首先是防御模式的改变。云安全使得网络安全的防御模式由传统的被动式模式,向主动式的防御进行转变。

第二个是分析模式的改变,云安全的出现使得传输的方式转变为云安全模式下的互联网分析模式,今天随着大数据技术的发展,以前很多时候在线分析处理所不能够具备的运算能力,今天通过离线处理和流式处理的计算模式,是能够更全面、更快的分析与发掘出来潜在的或者已知的这种安全攻击的来源。

第三个是研究方向更加明确,通过分析云安全的数据,可以全面、精确的掌握安全威胁的动向。在此我们认为安全作为云计算的一种服务,其实是一种安全云的理念和服务。国内的企业信息安全体系,很多企业处于初级阶段,这里面我们列出来企业的安全体系不同的发展阶段。国内的很多企业其实是处于图上的第一或者第二阶段,就是经验欠缺组织或者被动响应组织。到三级以后,基本上能够通过合规或者做一些前瞻性的运营管理上的管理,高级阶段能够预测出来当前有可能会有哪些安全威胁?

随着技术的发展,以传统的被动防御为核心的安全体系逐渐在失效。因为通过黑客的攻击手段比较初级的是进行探测,然后发现你的漏洞进行端口扫描和漏洞扫描,发现漏洞之后会进行比较简单的Web攻击、应用漏洞的攻击。再稍微高级一点的,会通过持续渗透来进行攻击,比如说刚才我提到的通过登录员工,获得员工笔记本电脑的使用权限,然后通过这一跳跳到你的生产环境里面去,这在8年前还是相当相当复杂的一种攻击方式。黑客能够通过这种恶意软件、僵尸木马、远程控制的方式来控制你的设备,既可以是PC设备,也可以是移动互联网的设备,或者是LoT的设备。然后通过这种数据的泄露和数据的销毁,还可以清除自己的访问痕迹,让你查都没有办法去查,尤其是在跨国攻击的这种情况下。

所以当今天的黑客绕过你的安全防护范围之后,所造成的损失是巨大的,以往这种被动响应式的防护方法,逐渐的应该被主动安全的防护体系所替代。我们认为一个主动安全的防护构架应该有几大部分有机组成,有保护、预测、响应和监控,这几者完全是有机联动互动的一个组合方式,在此基础上我们提出来-1秒响应的主动防御概念。我们通过对风险进行评估,能够预测到威胁或者攻击来自什么地方,来在攻击发生之前能够预先组织攻击的发生,能够最大程度的避免损失。

主动防御最主要的核心系统其实是对安全的态势感知系统,这里面有几种态势。首先是合规的态势,你的一个策略的管理和合规的自检是否能够符合合规的要求?同时运维态势,还有我对用户画像和当前云上或者数据上,或者网络行为的这种行为的态势的监控。同时通过流量分析,进行多维度的流量过程说异常流量的分析,猛攻感知到当前系统有可能会发生这种安全的一些事故。我们认为公有云,就是我们紫光云主打是公有云的方向,当然也有一种混合云或者行业云,当然我们还是主打公有云。

公有云的安全有几个核心技术,首先是云端访问的安全带,能够使公有云里面的租在云端的所有操作数据都能够保持一种密文存储的状态,这对于公有云来讲非常重要。刚才有人举例之前谷歌的SRE通过窃取用户的敏感邮件信息,骚扰客户。在当时邮件信息内部是没有加密的,但是那件事情发生之后所有邮件信息在内部是密文,哪怕是内部人员取到这段邮件内容也是看不到里面包含什么内容的。但是这个对于企业来讲要实现这一点非常不容易,因为如果你的密钥管理出了问题之后,你所有的邮件数据都会变的一团糟。

还有主机安全的防护技术,就是以白名单的机制来保护云端虚拟主机的安全部位,同时提供这种隔离的能力。灾备本身就是服务,提供可选择的备份与恢复服务。最近发生数据备份、数据删除的事故,最近国内一个比较有名的运营厂商,大家也都知道。还有提供用户身份的认证与授权,包括访问控制,可同时面向云平台自身和云服务相关进行用户身份的认证。

刚才大家提到目前很多安全是一种碎片化的部署,其实会影响到云上的这种弹性化的体验。对于传统的安全部署来讲,用户自己要采购各种设备,要买防火墙,Web过滤等等,进行大规模的弹性采购。但是租户自己进行部署不见得比云上更安全,你哪怕看见这个物理设备也不见得安全,安全并不代表你的物理设备安全它就安全。很明显老旧的设计,已经失去了它存在的意义。对于新一代安全来讲,应用程序都已经移到云端了,通过传统的安全部署其实已经失去了它存在的一种意义,这就是我们提出来的。就是安全或者说安全服务是云上的业务服务,所以对于今天来讲一个新的网络安全架构是必须有必要的。

这是我们提出的主动安全的一个理念,提出云网端立体的保护,全方位的保护。在底层包括终端的安全,还有云平台自身的安全,所有的这种数据的访问或者网络流量,都会进行日志的采集,然后各种数据会进入大数据分析的平台,然后通过大数据分析技术能够分析出来它各种各样的,潜在的,或者说未知已知的安全危险。同时这些分析出来的结果能够上报全网的安全云服务中心核威胁情报中心,能够进行进一步的处理。

这是整个安全能力的一个框架,这个框架也是能够对应到中央网信办的要求和等级保护的要求,里面包括主要两大部分,是我们云平台自身的安全和租户的安全。同时大家也都知道紫光集团的一个特点是我们既有芯片的业务,也有云的业务,我们往往提法是芯云一体。这边是我们认为通过结合紫光集团自身的特点,我们认为是五位一体的全方位、立体化的这种安全,我们叫芯云管端控。基于芯片的硬件级安全,往往能够比软件级的安全具有更强的可靠性。我们今天在物联网上,存在各种样的有可能会发生安全泄露的一些问题,必须数据在裸奔、敏感信息的泄露、数据信息也容易伪造。作为紫光的安全芯片,作为可信端,采用成熟的商用安全算法,我们能够实现端到端的闭环信任链,建立安全隧道和提供安全服务,实现人与机、机与机安全的对话。

我们紫光云的一个特点,就是结合了中国国情的一种架构,我们叫一多三统一。多门户的支持,因为政府或者行业往往有自己的特殊需要,政府会要求数据不出城或者数据不出省。举例来说,杭州市的这种数据如果你要放到北京市的数据中心来讲,杭州市政府可能会不太乐意。所以我们提出这种多层次的架构,来满足城市或者行业的特殊需求。统一我们这里面有三个统一,统一的融合架构,我们一个数据中心能够支持公有云、城市云、行业云、托管云等多种服务模型,我们进行统一的资源管理,能够极大提升资源利用率,降低边际成本。统一的运营管理,统一用户体系,统一计费系统,将城市云、行业云融入到公有云的管理体系,便于客户业务的迁移。还有另外一个优点,因为我们是全新的一个架构,所以我们所有的硬件都是最新的技术、最新的架构,同时我们对于数据中心建设的投入也是不计成本的一种投入。

关于VPC的架构,就是虚拟专有云。虚拟专有云是基于网络的虚拟化技术,在物理网络之上构建的虚拟网络,能够帮助用户在云上构建出来一个隔离的网络环境,用户可以完全掌握自己的网络设置。它带来的优势是安全可靠、配置灵活、互联互通,能够进行混合云的部署。

我们提出安全的VPC或者安全的混合云,这是新一代的紫光云安全的核心。我们把安全的接入和防护网关作为一项服务,提供了一个完全集成网关,可以检查所有端口,甚至可以卸载SSL。

最后一点是我们也认为安全其实要发动人民群众的力量,通过这种安全的众测,让有兴趣或者有能力的,能参与到其中来的人,能够参与到安全的测试。每个人能够在安全中测出来一个点,这其实是有一点人人为我、我为人人的理念在里面。随着时间的逐步演进,通过这种安全政策的发展,我们能够充分发挥全社会的安全能力,使云越来越安全,感谢大家!

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-07-02 19:52:05
云技术 获可信云技术创新奖,华为云混合云HCS Online厉害在哪?
7月2日,由中国信通院主办的“2019可信云大会”在北京国际会议中心盛大召开,会议通过云计算技术创新奖奖项评选活动,评选出2019年度技术创新明星产品与方案 <详情>
2019-07-02 17:48:00
云资讯 2019可信云大会在京召开 发布云计算系列研究成果
7月2日,由中国信息通信研究院主办的“2019可信云大会”在北京国际会议中心召开。工业和信息化部党组成员、总工程师张峰,中国通信标准化协会理事长奚国华出席会议并致辞。 <详情>
2019-07-02 17:14:45
云资讯 2019可信云大会 | 紫光云李广武:多云时代的云生态
大家下午好!今天我在这里分享一下紫光云在混合云时代的做法。首先给大家介绍一下紫光云,很多在座的专家了解紫光集团,对紫光云也是刚开始了解,紫光云是紫光集团的全资子 <详情>
2019-07-02 16:21:41
云资讯 2019可信云大会 | 关健:金山云金融行业解决方案
今天是我第二次来到可信云,去年给大家介绍的是工业云,也是我们刚刚拿下的鞍钢云计算项目,非常有幸今年鞍钢Case成为企业上云十佳之一。去年之后我们陆续中了建行大数据云 <详情>
2019-07-02 15:55:27
云安全 2019可信云大会丨紫光云王勇:从芯出发,构建新时代云安全体系
在过去12年里,包括在硅谷和大陆,可以看到威胁一直伴随着技术的发展存在,威胁的形式会有不同的表现。比如在2019年看到了委内瑞拉的事故,英特尔的处理器暴露出它的漏洞, <详情>