(2009-09-27 02:48:00) 绿盟科技 吴云坤
一年一度的RSA大会不愧为安全行业的风向标。2009 RSA大会闭幕已经有一段时日了,但是RSA大会所呈现的热点和看点却随着时间的推移,在一步步地得到深化和印证。从2009年的RSA大会上,我们看到,目前全球领域的安全焦点主要集中在以下几个方面:WEB安全、云计算、GRC、政府与国家关注的安全、身份管理、安全协作。其中WEB安全和云安全不仅是会上的焦点话题,也是目前安全界最为关注的核心。
WEB安全当仁不让
WEB不仅在国内,乃至在全球都是热点问题。在2009年的RSA大会上,众多厂商都提供了保护WEB安全的解决方案、产品和服务。从WEB应用的网关级防护到WEB安全漏洞的扫描;从WEB内容的安全审计到WEB应用的安全生命周期管理,WEB 应用的各类产品已基本覆盖了整个产业链。从关注的角色来看,无论是监管者还是服务提供者,无论是网络提供者还是浏览者,都对WEB安全寄予了很大的关注和期望。
WEB安全之所以成为众所瞩目的焦点,一是基于WEB的开放性和交互性的特殊性。更重要的是,对于多数组织而言,WEB承载的信息是组织最重要的资产甚至是惟一资产。众所周知,我们的生活已经离不开互联网。随着互联网应用的增多,WEB应用已成为人们获得各类信息和服务的主要方式,其蕴含的价值也越来越高,自然也吸引了攻击者足够多的视线。
看趋势,一定要看价值,哪里有价值哪里就有攻击,地下产业链一定是瞄准价值高的地方。安全厂商的产品就是要在价值高的地方保护我们的客户不受损失。
有数据表明,2007年全球安全研究人员所发现的安全漏洞中有59%的漏洞为WEB应用安全漏洞,而2008年这项数据上升为63%。与此同时,安全研究人员还发现,在所有发现的WEB安全威胁中,仅有很少的一部分被修复,以跨站脚本漏洞为例,在2008年仅有3%的跨站脚本漏洞被修复。
随着WEB技术应用的范围越来越广泛,WEB技术相关的安全漏洞也越来越多地被挖掘出来,而针对WEB站点的攻击已经成为了最流行的攻击途径。如何保护WEB站点,在未来也必将成为安全厂商最重要的任务之一。
那如何对这些WEB关键资产进行防护呢,我们认为,WEB防护的关键点主要在于两个方面:一是WEB应用所处的组织结构;二是WEB应用的生命周期。
对WEB系统提供安全防护,首先必须了解WEB基础架构。WEB服务提供者的技术平台通常由网络平台、操作系统、一般服务组件、特定应用构成;而浏览者的技术平台通常是由浏览器、操作系统、网络平台构成。在整个WEB体系技术平台之上承载的是信息数据,浏览器端和服务器通过技术平台交换信息数据。
图1 WEB体系架构
对于整个WEB体系而言,各层次安全需求的满足都依赖于下层提供的安全保障,在WEB体系内,一般服务组件、操作系统、网络平台、浏览器一般都是通用的软件或硬件产品。除监管者以外,其他各个角色一般仅仅作为使用者使用最终的通用软件或硬件,很难对其整个生命周期产生直接的影响。
从生命周期的角度来看,任何WEB系统技术平台的生命周期大都包括设计、开发、部署、运维、消亡这几个阶段。对于整个体系而言,在整个生命周期中,对安全风险的控制越早进行越有效、整体控制成本越低。但在整个WEB系统中,仅仅只有用户特定应用的整个生命周期被用户所掌控。因此,如何在整个生命周期内控制特定应用的安全风险,将成为WEB系统安全风险控制技术层面的核心部分。
一定意义上来说,WEB安全更像一个帽子,我们保护WEB安全,保护的不是帽子,更多的是帽子里的东西。保护的不是服务器本身,而是WEB承载的内容的安全。首先,WEB的特点是足够开放,有网游、有视频,网上营业厅等等各种应用,保护好这些内容才是WEB安全的本质。其次,WEB 保护要看生命周期,WEB安全本身是生命周期的安全,比单纯保护WEB安全要重要得多。同时,WEB 生命周期也是不断变化的,其中安全服务也是WEB应用生命周期需关注的重要一环。
总体来看,WEB应用安全相关产品或服务领域注定是近年来一个持续增长的安全市场,而且,随着产品的深入,不仅参与的厂商会更多,扮演的角色也会越来越细分化。
安全也要漫步云端
云计算、云安全正如在国内市场备受热议一样,在2009年的RSA 大会上,云安全也是众所争议的焦点。
虽然2009年RSA大会上专注在云安全的厂商只有五到六家,但是几乎每个大型厂商都在强调云安全。一方面大家非常关心云计算的自身安全问题,尤其是云计算下的数据安全;同时也都涉及到了如何借用云计算的思路开展诸如SaaS、PaaS、IaaS等多种新的安全业务模式。热点必然带来争论,有些专家甚至戏称“云计算”不如叫做“沼泽计算”,意指一旦选择云计算,由于其安全问题必然导致不可自拔的境地。
那云计算是否如钱伯斯所说,“对于安全,云计算是一场噩梦”呢?我们应该看到,云计算是不可避免的趋势,但是由于云计算所引发的新的安全问题,则又是很难预测的。而这些问题甚至会动摇我们已经形成的网络安全的体系方法。这也正是钱伯斯所谓“云计算是噩梦”的言论出发点,“他是网络安全的噩梦,而且无法用传统的方法来解决”。
从云的外部,用户看不到云里面是什么样子的,也就是说云是不透明的。服务提供商承诺了会提供各种层次的安全方案:从网络层到应用层、从数据保护到可管理的安全服务。但是作为云外的用户,对这一切却是一无所知。这可能也是很多企业对云计算望而却步的原因,也是众多安全专家的争论核心所在。
从绿盟科技的角度看来,云只不过是另一种数据中心的集合,数量更多而且分散,这使得访问与使用更加的快速、便捷。再加上云端的SaaS应用,能够为众多企业尤其是中小企业带来更便捷、成本更低、无所不在的IT服务。但同时,云计算与SaaS也带来了新的安全问题。因为在云中,没有边界,云计算与SaaS的使用者自己再也无法控制边界、控制数据,甚至都不确切地知道数据在什么位置上。而服务提供者往往还要同时面对IaaS, PaaS, SaaS三个层次的安全问题。
图3 绿盟科技云安全系统
云计算是一种商业模式上的革新,我们关注更多的是云里面的内容SaaS,这才是用户真正感受到的内容。对于SaaS这种模式,安全问题存在于它的各个层次:基础设施、平台、上层应用。对于三个层次,所面临的安全问题也是不同的。比如对于IaaS(Infrastructure as a service),数据中心建设、物理安全、网络安全、传输安全、系统安全是主要的关注点。而对于PaaS(Platform as a Service),数据安全、数据与计算可用性问题则更受关注。而到了最高层的SaaS(Software as a Service),则对于数据与应用的安全问题更为关注。
但是,当SaaS架构在云计算这个平台上时,最高层的这些安全问题很多是不可知而且不可控的,使用者再也无法自己实际掌握对安全便捷与数据的控制权。这也给云安全带来了很多不确定的因素。
因此,云安全的目标应该是建立一种机制,通过建立一种多层分析系统的机制来保障安全。这个多层分析系统主要包括:信誉系统、广义的扫描系统、闭环反馈系统。对于势不可挡的云计算,安全也要漫步云端。随着云计算的深入应用,云安全将会有更广泛的应用合作前景。
如今,我们已经处于一个信息爆炸的时代,用户也从关注产品进而开始关注服务。无论是WEB 安全还是云安全,在安全发展趋势上,更多地应该还是二者的一种协同防御。
关于RSA大会
RSA大会(RSA Conference)是目前全球信息安全领域最具权威的年度盛会,自1991年成功举办以来,RSA大会已逐渐成为指引安全发展趋势的风向标。RSA大会全方位覆盖了信息安全的各个领域,汇集了安全界顶级精英、研究机构和企业,以主题论坛、专业论坛、创新论坛、展会等多种形式,全面探讨当前信息安全所面临的问题和解决方案,对了解国际前沿技术动态,推进国内、国际市场开拓具有重要价值。
2009年4月20日-23日, 2009年RSA大会(RSA Conference 2009)在美国加州旧金山如期举行,会议重点探讨了恶意软件爆炸性增长以及如何应对恶意软件、关于虚拟化安全、保护云计算环境、以云为基础的安全服务、身份管理和相关法律等问题。会议参展企业涉及从Physical Security、IT Security到 Compliance的方方面面,大会吸引了来自全球的顶级信息安全企业、各行业IT决策者、资深安全专家以及学术界的领军人物。会议分主题论坛、专业论坛、创新论坛、展会等多个部分,其中专业论坛涉及面极广,从加密算法数学原理的讨论到安全合规性管理、WEB安全、移动安全等多方面的热点话题。
与以往安全厂商相对独立的研发、生产不同,在2009年的RSA大会上,“合作”成为大多数参会用户一致认可的主题。随着攻击者攻击手段的愈加复杂和狡诈,安全厂商之间已别无选择,只有团结起来,共同应对安全挑战才能真正保证用户的信息安全。 | 
