趨勢科技鄭弘卿:云安全和法規遵從挑戰&解決方案
原創【51CTO.com 綜合報道】2010年10月21日-22日的RSA 2010大會雖然已經結束,但是大會上,很多演講都精彩絕倫。51CTO作為特邀媒體,對大會進行了相關報道。這次,我們來對趨勢科技全球企業級產品研發部門總監鄭弘卿的演講內容進行一下總結。那么,下面就是他演講的具體內容,主題是《云計算時代的安全和法規遵從挑戰&云安全解決方案》(更多內容請參閱RSA 2010信息安全國際論壇專題報道)。
鄭弘卿:各位朋友、各位來賓下午好。我先自我介紹一下,我是趨勢科技的鄭弘卿,我是負責趨勢科技企業級全球產品研發。
很高興今天有這個機會來到這里跟大家介紹一些云計算以及安全的發展,還有趨勢科技可以給大家提供一些新的解決方案。我用中文演講的機會不多,這可能是我一生第8、第9次在這么多人面前用中文演講。我記得好幾年前,我們公司在南京學校招人的時候,我第一次用中文去演講。開始的時候我就問聽眾,你們希望我用中文還是英文,很多人就說請你用中文,那時候我大概講了一半的時候,我問大家希望我用英文還是中文,那時候一半的人說請用英文。我希望今天結束的時候有機會做這個調研,希望你們對我慷慨一點,你們在填這個表格的時候請手下留情。
我剛才說我主要是負責全球級產品的研發團隊,我最近一兩年有比較多的時間在中國,協助我們這里的分公司開發一些新的業務。所以我希望今天跟大家分享的內容,是跟大家工作有關系的。
在座可能有很多朋友對趨勢科技了解不多,我先簡單介紹一下趨勢科技。趨勢科技1988年在美國洛杉磯創立,1998年順利在美國納斯達克、日本東京上市,公司最高市值曾超過130多億美金。很榮幸我們在一兩年前,我們每年的營業額都超過十億多美元。今天趨勢科技在全球各地大概有4千多位員工,包括我們在南京研發中心的500多位工程師。趨勢科技創立這二十多年來,我們跟有些公司不一樣,我們是專注于內容安全的領域,我們公司的愿景就是要打造一個讓數字信息交換零風險的世界,這也是我們每位員工包括在全球4千多位同事每天在專注的一個事情,我們堅持為客戶提供業界最強、最創新的解決方案。
我今天要跟大家分享的內容是云時代的安全和法規遵從的挑戰,還有我們可以給大家提供的解決方案。
內容主要分成三部分:
第一,云計算概況;
第二,今天云計算會帶來大家一些新的安全問題和管理上的一些挑戰;
第三,趨勢科技今天擁有的一些技術,還有我們可以提供給大家的產品和解決方案;最后我會簡單總結一下。
我們常聽到一個話題,就是云計算。云計算是可以分成很多不同的層面和不同的類型,云計算就是有些人說的分布式計算,有些人說是網格計算也是云計算的一種,甚至有些人說P2P也是一種云計算。云計算很重要的一個環節就是虛擬化,為什么虛擬化會讓很多人感到很有興趣?大家最近也常聽到,國內常說節能減排,減少電力的使用,減少資源的濫用。從IT投入的角度看,能降低支出、降低電力的使用、降低設備的投入,這都是IT領導和管理員比較有興趣的一個事情。
趨勢科技可以接觸到很多客戶和企業,云計算和虛擬化可以提供的最大價值,就是在有更多業務需求的時候,讓IT可以很快地得到更多的IT資源。像我們公司一天到晚在辦市場活動,市場活動辦得比較大的時候,我們就需要準備更多的外服務器。傳統IT如果準備更多的設備,通常要通過采購,要有采購的流程,要有一個完整的計劃去部署這些新購的服務器,整個流程是非常慢、非常長的,慢一點要好幾個月,快一點至少要好幾周。趨勢科技在幾年前就開始使用云計算滿足商務業務上的一些需求。另外云計算帶給企業一個很大的優勢,就是企業不需要在前期就做大量投資,企業可以支付他們真正需要使用的一些資源。
也因為云計算帶給客戶的價值很多,所以全球的云計算使用在快速增長。現在大家看到的就是IDC提供的數據,根據IDC的估計,接下來這幾年云計算將快速成長,平均每年大約增長26%。這個速度是遠遠高于傳統IT每年4%的增長率。快速成長的云計算將面臨哪些挑戰、哪些問題,接下來我簡單跟大家介紹一下。
今天很多企業不采納云計算很重要的一個原因,就是因為他們擔心云計算的安全性,現在大家看到,IDC在去年做出的一個調研,從這個調研的結果可以看出,被訪問的人中,大概有超過87%的人都反饋說安全是他們對云計算最擔心的問題。最近我有機會在國內拜訪幾個不同行業的客戶,這里包含一些全球知名度蠻高的銀行,還有保險公司,好幾家的安全負責人就跟我說,他們其實對云計算目前是保持比較保守的態度,他們公司已經投入了一些資源,在研究云計算和虛擬化,還有做一些未來的規劃。但是因為安全和運營穩健性的考量,他們目前并沒有把任何重要或者關鍵性的應用遷移到虛擬環境上,他們還是在使用傳統的環境在運行這些關鍵性應用。未來一部分客戶可能會考慮建立他們的私有云,很多客戶還是因為安全的考量,并沒有計劃在未來采納公有云。我剛才提到,我拜訪的這些客戶很多是保險公司和銀行,業務的穩定性、持續性對他們來說是非常重要的,另外一個原因可能是因為這些公司今天還非常賺錢,所以他們還沒有壓力去降低運營成本。但是通常這些客戶的想法可能會保守一點,但是這些客戶會因為擔心安全而不采用云計算計算,這也是可以理解的。因為今天的IT環境處在一個非常危險的狀態。#p#
我們現在看到過去一年幾個國內外知名度比較高的安全事件,百度的域名被劫持,造成很多用戶沒辦法正常去訪問百度網站,這是今年發生的一件事情,我相信很多人都聽過。在去年5月份,暴風影音域名的解析器也受到黑客的攻擊,而導致很多省的用戶無法正常上網。在國外,這一兩年也傳出很多不同的企業,他們的網站或者他們的設置受到攻擊,導致他們的業務中斷,或者是重要客戶的個人信息被盜取。
最近可能有些朋友說過Stuxnet病毒,這個病毒蠻特殊的,它是世界上首個專門針對工業系統而設計的病毒破壞系統,它透過Windows的一些漏洞,還有西門子系統的一些漏洞進行攻擊。西門子這套系統在全球包括在中國有很多重要的行業都在使用這套系統,這里包含一些發電廠,很多電力企業和公司都需要用這套系統,如果這個病毒能夠很成功地去傳播和進行破壞,我想后果應該是非常嚴重的。雖然今天大部分的病毒都不是針對電力發電廠,或者是核電發電廠而設計的,但是其實我們都知道,今天很多企業、很多公司的業務,都是通過互聯網還有WEB進行的。所以如果這些設備、這些服務受到攻擊,我想這會帶給企業和消費者很多不便和很多損失。
到目前我已經跟大家介紹了幾個安全事件,其實這些安全事件都是發生在比較傳統的IT環境上。到目前我還沒跟大家介紹任何直接跟云計算比較有關系的風險。在云計算的時代,在采用虛擬化的時候,大家還需要考慮一些新的安全問題和挑戰。我們現在看到的就是大部分企業在虛擬化會經歷過的過程。我們把這個過程分成三個不同的階段。第一階段是服務器的整合,也就是通過虛擬化的技術,在一臺物理機上可以運行多個操作系統,還有多套運用。用戶通常會考慮這樣做的原因有很多,除了純粹要降低運營的成本以外,有可能是要減少電力的使用,比如節能減排,也有可能要減少自己機房里的服務器數量和占有的空間。在這個階段,我們可以聽到一個概念,就是服務器整合率,整合率越高就代表這個客戶可以把更多的服務器虛擬化,運行在更少數量的物理機上。第二個階段是服務器整合率的提升,還有桌面虛擬化的開始。在這個階段,用戶就會開始利用虛擬桌面技術,對用戶的桌面進行統一管理,這樣就可以減少一些運用的部署和維護工作。第三個階段是公有云采納的開始,在這個階段,客戶開始不采購和部署自己的服務器,而是把他的一些應用部署在從外面租來的一些服務器上。
在整個虛擬化的過程中,客戶需要面對哪些安全問題和風險?趨勢科技歸納出12個跟云有關的安全問題。在不同的虛擬化階段,客戶將會碰到不同的安全問題。接下來我介紹幾個比較容易理解的。在第一個階段,也就是初始的服務器整合階段,客戶開始需要擔心虛擬機互相攻擊的問題,為什么需要擔心這個問題?我們先看一下傳統防護的模式,傳統的安全防護通常是一種堡壘式的方法,就是在服務器的周圍部署一些防火墻,或者是一些IDS、IPS設備,但是當一臺物理機上運行多個虛擬機和操作系統的時候,只要其中一臺虛擬機或者系統受到病毒的感染,其他運行在這臺物理機上所有的系統都可能容易被攻擊。為什么是這樣?因為部署了IDS、IPS的架構,是無法檢測在一臺物理機上,在多臺虛擬機間攻擊的流量,你今天是一個管理員,你拿U盤更新某一臺虛擬機,這臺虛擬機不小心被感染病毒,所有運行在同一臺物理機上其他的系統都更容易被受到攻擊。通常在虛擬化的第一個階段,也就是服務器整合階段,客戶還需要面對的一個問題是,哪些應用跟相關系統要整合在同一臺物理機上。趨勢科技有很多不同部門,有研發部門,有HR部門,有法務、財務等不同部門,像研發需要使用的一些應用,我們在部署的時候,這個東西只需要讓研發工程師很容易去ACCESS,但是HR使用一些人力資源管理的應用,就可能牽扯到很多員工的個人信息,所以需要有比較嚴謹的一些防護措施,比較嚴謹的一些保護。所以在開始虛擬化的時候,就需要考慮到把這兩種需要不同安全等級的應用隔離在不斷的網段,或者不同的物理機上。這會帶來安全管理上的復雜度的增加,還可以降低服務器的整合率,但是如果服務器的整合率降低,就意味著IT的支出也需要增加。
我們現在看這個問題,我認為這個問題不僅僅是在云環境下才會發生的問題,這個問題對傳統的IT也會帶來非常大的挑戰,這個問題是IT管理員如何確保所有系統上都有部署完整的防護,擁有最新、最正確的安全策略。當用戶有很多虛擬機,還有很多不同虛擬機版本的時候,要確保所有的虛擬機還有版本都有部署安全軟件、部署正確的安全策略,這跟傳統環境比較起來,是更大的一個挑戰。
到目前我跟大家介紹的這些安全問題都是發生在第一個階段的。到第二個階段,IT還需要面對一些其他的安全問題。在第二個階段,客戶通常達到的目標之一就是,要在不影響甚至提升服務的持續性、穩定性的狀況下,讓服務器的整合率、物理機的使用率提升。為了要達到這些目標,用戶就需要在不同時間把一些不需要運行的虛擬機和應用停止掉,或者是在需要支持更多業務的時候,要提供更多服務的時候,把本來休眠的物理機應用。這種運行的模式就會帶來一些問題,我跟大家介紹一個常碰到的問題,我相信在座各位應該都有安裝殺毒軟件,我們都知道殺毒軟件要定期更新病毒庫,但是病毒庫更新只能在運行中的電腦發生,因此如果休眠機是長期在休眠,它不可能有最新的病毒庫。所以當這些休眠狀態的虛擬機突然被激活的時候,它們就可能因為沒有最近期的一些病毒庫,而擁有比較大的一些安全風險。
在第二個階段,很多客戶為了提升整合率還有服務器的使用率,很多客戶也希望把不同安全等級的系統跑在同一臺服務器上。這通常會帶來幾個問題,客戶可能為了要提供嚴格的防護,安全策略的一些配置,包括網絡設備的安全規則的一些配置,就會變得比較復雜,這會導致虛擬機沒辦法在多臺物理機之間的遷移,這個遷移動作比較難進行,所以遷移的靈活度就降低。某些客戶如果這樣做,他就又回到虛擬化的第一個階段。另外一個可能是,客戶為了方便的考量,他就把整體的安全策略配置得比較松一點,這樣使用起來比較簡單,當他們遷移這個虛擬機的時候,就不會碰到太大的困難。但是這樣的做法會導致,應該要被嚴格保護的系統,還有這些應用和數據,可能比較容易受到攻擊。#p#
在第二個階段,很多客戶體驗到的一個問題,我想這個問題可能是我個人大概每周都會體驗到一次的問題,在座的朋友有些人可能會碰到這個問題,在座很多人的工作單位都會要求你們安裝殺毒軟件、防毒軟件,趨勢科技身為安全廠商,也對員工有這樣的要求,趨勢科技每一周就會對每一個員工的系統進行一次全盤掃描。當全盤掃描進行的時候,我個人的感覺就是電腦的反應變得比較慢,尤其是我有很多運用在運行的時候。這個現象會發生,主要是因為防病毒軟件在做全社會掃描的時候,需要比較多的內存和系統資源,這會造成整個系統性能的降低。同樣地,通過虛擬機和虛擬關系,這也是一個問題,不管客戶是把多臺虛擬機運行在一臺服務器上,或者是他們通過一臺服務器去提供很多的虛擬桌面,如果所有的虛擬機或者是這些虛擬桌面都同時在進行全系統掃描,服務器的性能就會受到很大的影響。比較嚴重的狀況,可能甚至會導致業務的中斷。
在虛擬化的第三個階段,也就是公有云采納的開始,客戶會面臨什么問題?一個問題就是公有云的服務供應商對于客戶數據和系統的保護,假如客戶把他的數據還有虛擬機還有這個系統,放在公有云服務供應商的存儲設備上,我們怎么能確保服務廠商的員工自己不會去竊取這些數據,或者破壞這些系統。為什么我們需要重視這個問題?我們來看下一頁。現在你們看到的是美國亞馬遜公有云服務客戶使用協議,亞馬遜應該是全球最大的公有云服務廠商,我們仔細看這個協議,亞馬遜這個協議寫得非常清楚,客戶需要為自己放在亞馬遜公有云上所有的應用和數據的安全負責,而亞馬遜并不會提供任何的安全保障。看到這個協議,我想難怪很多客戶對公有云、對云計算持保留態度。
今天企業除了要面對我介紹的這些問題和挑戰,其實今天在很多國家和地區企業還被要求達到法規遵從,這個合規里比較有名的就是美國2002年通過的薩班斯法案,美國通過這個法案之后,其他地區,包括日本、歐洲都有一些合規的要求。大家也可能聽說,中國政府在明年也會對中國的一些企業,包括一些上市公司,實施一些比較嚴格的監管,在合規方面。我們相信法規遵從的來臨也將增加IT安全管理的一些工作。合規法規的要求很多,我舉一個方面,在很多合規法規的要求里,擁有完整的日志和審計機制,還有變更的管理,是一個很重要、很基本的條件。在虛擬環境中,這將是一件更復雜的工作,因為虛擬機不像傳統的物理機,是停留在一個地方,停留在一個環境上,因為虛擬機和系統可能在任何一個時間,從一個環境遷移到另外一個環境。
在有更多法規持續出臺的情況下,在懲罰在持續增加的狀況下,如何滿足合規的需求,但又不對你的IT系統和管理帶來太大的負擔。面對這些問題,趨勢科技可以提供什么解決方案。接下來我簡單跟大家講一下,雖然有非常多的法規,不同國家有不同的法規,不同行業有不同的法規,我們剛才看到接近40多個國家,對不同行業都有不同的法規。但是如果把這些法規提出來的要求整理一下,我們會發現它們之間有很多共同點。比如需要在系統上安裝防病毒軟件,或者需要防火墻,或者是入侵檢測的一些機制,可能需要一些完整性的補丁和漏洞的管理,需要日志審計的功能,需要變更管理的功能。趨勢科技提供的一個可以滿足這些法規要求的解決方案就是我們的DEEP SECURITY安全解決方面,這個解決方案提供了很多功能,這個解決方案提供了包括防病毒、防火墻、入侵檢測等功能,其實這些功能跟法規對IT提出來的多樣需求是對應的。所以投入這些模塊的功能,DEEP SECURITY可以提供給客戶安全的保護。我們要講日志審計或者防病毒這種產品,大家知道這個產品不是業界第一個,但是為什么我要介紹這個解決方案?這個解決方案有很特殊的一點,它可以通過支持物理環境跟虛擬環境的部署,你可以用它來保護傳統的物理機,也可以用它保護放在虛擬環境上的虛擬機。這個解決方案我們相信是業界最強,但同時對這個性能影響最小,管理最簡單的一個安全防護。很多客戶會問趨勢科技,這個東西聽起來很好,太完美了,我們很少看到防病毒軟件可以很強,然后對系統性能影響小,管理起來又簡單。為什么這個產品可以做到這樣?其實這個產品是基于一個比較特殊、比較創新的一個架構,我來介紹一下。
使用這個解決方案的用戶,不需要在任何一臺虛擬機上安裝任何產品,就可以達到防御、保護、管理的效果。這跟傳統大家對安全的認知是不一樣的。我們是怎么做到的?是通過趨勢科技和VMWare廠商共同開發了一個技術,我提到的這些安全功能模塊,都是集合安裝在一臺虛擬機上,這臺虛擬機一旦安裝在一臺物理機上,它就可以對同時安裝在這臺物理機上所有的系統、所有的虛擬機提供防護、管理。我們常使用的一些功能,像實時掃描、全系統掃描、防火墻、入侵檢測,這些都可以在客戶不需要安裝代理的狀況下實施。這種架構帶給客戶很多新的方便,帶給客戶很多新的價值。第一,如果客戶是負責防病毒管理的,就不需要在每一臺物理機上進行病毒庫的更新,而只需要在每一臺物理機上下載一套病毒庫,并不需要在每一個操作系統上更新這個防病毒的病毒庫,這個好處是可以大量降低安全對系統資源的占用,提升虛擬化的整合率。第二個好處是好管理,因為客戶只需要更新一次,不需要擔心是否每臺機器、每個設備、每一個操作系統上是否都有病毒庫,他也不需要擔心他剛剛配置的一臺虛擬機是否有安裝防病毒軟件,或者更新了最新的病毒庫。這套解決方案也是專門為虛擬化、虛擬環境設計的,這個保護是隨著虛擬機移動的,所以客戶有一天決定把虛擬機從公司內部的一個環境遷移到另外一臺物理機上,這臺虛擬機也可以得到完善的保護。或者有一天,客戶到了第三個階段,他決定去采用公有云,就算他把這個虛擬機遷移到外面廠商提供的環境中,這臺虛擬機還是可以得到完善的保護。#p#
DEEP SECURITY這個解決方案特殊的部署,也可以讓很多客戶有信心為虛擬機同時為物理機部署安全解決方案,而滿足法規遵從提出來的多方面要求。客戶不需要為了合規而擔心在虛擬環境上部署很多不同的安全解決方案,或者不同廠商的產品。這個解決方案可以是一套解決方案滿足多種法規遵從提出來的要求,另外一個很大的優勢就是部署一次,可以保護多臺虛擬機,同時對系統不會造成性能的影響。
到目前,我跟大家介紹的這些解決方案,都是以保護服務器為出發點的,就會有人問趨勢科技,我的公司有很多虛擬桌面,趨勢科技可以提供什么解決方案,保護我們的虛擬桌面,你們有這種解決方案嗎?答案是有的,其實使用虛擬桌面的客戶,他們常常會碰到一個問題,就是當他們在進行全盤掃描、全系統掃描的時候,全系統掃描會對他們的服務器造成很大的性能影響,這是很多企業、很多客戶反饋給趨勢科技的一點。
趨勢科技最新的一些產品是提供業界第一個支持VDI-虛擬桌面的防病毒功能,我們最新的產品可以自動識別虛擬終端、智能安排全系統掃描工作,避免在系統資源不足的情況下,讓服務器的性能受到影響,這是趨勢科技提供的一個創新的解決方案。
你們現在看到的是我們在實驗室測試出來的一些結果,新的解決方案跟傳統的比較起來,對性能的影響的差距是非常大的,我們可以看到,新的解決方案可以降低掃描時間70%,在CPU和內存的占用上減少超過80%。所以從這個結果可以看到,最新支持VDI的趨勢科技的解決方案,可以大幅度地減少掃描時間,并大量降低系統資源的占用。
今天在全球各地有很多客戶已經受到趨勢科技解決方案的保護,在美國我們有一家全球知名的金融機構,他們已經部署了這個解決方案,來落實公司內部的一些安全策略,還有滿足一些法規遵從的需求。這個客戶是有1000多臺服務器,這里面包括一些Windows系統,還有Linux等操作系統。客戶也有一些物理機,還有一些虛擬環境,這些物理機、虛擬機都已經部署了趨勢科技的解決方案。
這是另外一個成功案例,Workstream是另外一家美國公司,他們是通過SaaS(軟件即服務)的方式去提供一些人力資源應用。他們的客戶包含全世界500強的一些企業,這些企業對員工個人信息的保護是非常重視的。Workstream也是趨勢科技的一個客戶,他們采用的主要原因是要保護他們的外服務器,還有一些關鍵性的應用,以確保服務器的穩定性和安全性。
最后我總結一下,趨勢科技認為,當今的IT企業是處在一個快速變化的環境中,危險環境在快速變化,虛擬化的采納也是持續加快,同時政府還有不同機構對企業的安全要求在持續提升。所以趨勢科技認為,客戶今天如果要考慮一個解決方案,這個解決方案一定要有全面性,可以防止多種安全威脅,并且是可以滿足多種法規合規的需求的解決方案。我們認為云計算、虛擬化是一個避免不了的未來,任何一個企業可以有效的掌握云的使用,就可以得到一些比較突出的競爭力。所以我們認為,今天任何一個客戶要考慮一個新的解決方案,這個解決方案一定要可以支持傳統的物理環境,也要可以支持云計算虛擬化的環境。
【編輯推薦】
