【51CTO.com 綜合消息】時尚界的“凱撒大帝”卡爾•拉格斐曾經(jīng)說過，“現(xiàn)代社會的每一次‘流行’，都蘊含著危機”。拉格斐針對流行消費的這句話，如果放到今天正在流行的“云計算”概念中，也許同樣是一句最恰當?shù)淖⒛_……。

“美夢”中的定時炸彈

幾年前的《紅鯡魚》（Red Herring）雜志中，曾有這樣一句話，讓包括筆者在內(nèi)的很多人印象深刻：“未來，我們將不再上網(wǎng)，因為，我們注定會是24小時在線的人?！?nbsp;  

時光流逝，當年的預言正一步步變?yōu)楝F(xiàn)實，“云計算”時代的到來，使得對于個人和企業(yè)而言，“24小時的在線”不再僅僅是信息的傳遞與獲取，更是各種關鍵應用的實現(xiàn)。就像IT評論家Keso對“云計算時代”所做的描述那樣：“將來我們買一臺上網(wǎng)設備的惟一理由就是因為它可以方便地上網(wǎng)，設備本身不需要安裝任何軟件，它要做的一切就是打開瀏覽器去訪問互聯(lián)網(wǎng)，讓Web終端來實現(xiàn)一切信息處理和存儲?！?/P>

一切來自網(wǎng)絡、一切基于網(wǎng)絡，一切運行于網(wǎng)絡。很顯然，這樣的環(huán)境對于電信運營商而言，有著前所未有的意義，IDC在不久前發(fā)表的觀點中明確談到，電信運營商是最有發(fā)展?jié)撡|(zhì)的云服務提供商，而云計算也將成為電信業(yè)轉型的重要助推器。

由于云計算在實質(zhì)上就是一種通過IT設備、系統(tǒng)或軟件來表現(xiàn)的電信增值服務。因此IDC預計，在不久的將來，云計算會成為電信運營商在增值業(yè)務方面最重要的增長點，這同樣也是運營商未來產(chǎn)業(yè)戰(zhàn)略布局中，最核心的至高點。

雖然云計算在電信運營商的轉型戰(zhàn)略之中的前景被廣泛認可。然而，IDC同時也談到，在這朵“充滿希望的云”中，還有著很多令人擔憂的因素，其中，安全就是最引人注目的一個，而這也是綁在運營商和眾多企業(yè)云計算“美夢”中的一顆定時炸彈。

“云”計算還是“沼澤”計算？

在不久前舉行的RSA 2010安全大會上，麻省理工學院教授、圖靈獎獲得者，著名的信息安全專家Ronald L. Rivest在談到云計算的安全問題時，半開玩笑地指出，“也許我們起名叫‘云計算’本身就是一個失誤，因為這名字很容易讓人感覺有趣和安全。但事實上，網(wǎng)絡中充滿了威脅和險惡，如果我們當初把它叫做‘沼澤計算（swamp computing）’或許更能夠讓人們對它有一個正確的認識?！?/P>

的確，就如同中國的成語“判若云泥”一樣，如果我們處理不好云計算中的安全問題，這個描繪中美好的“云計算”很可能轉變成真正的“泥計算”，并把我們的企業(yè)和業(yè)務拖入沼澤。

然而，保護云計算的安全問題并不簡單，思科首席執(zhí)行官John Chambers認為，云計算將是一場網(wǎng)絡安全的噩夢（security nightmare），并且通過傳統(tǒng)的防護方式，并不能將人們從這場噩夢中喚醒。

云安全聯(lián)盟最新的調(diào)查研究也顯示，51%的企業(yè)CIO認為安全是云計算最大的顧慮。而且，這些安全問題并不是一種隱憂，它實際上已經(jīng)在不斷的發(fā)生。例如對于運營商而言，要保證云計算的可用性，最重要的一點就是防護DDoS攻擊，而在云計算時代，要做到這一點就面臨著巨大的挑戰(zhàn)。那么安全廠商又該做些什么呢？

悄然“升級”的背后

就在不久前，思科自己的網(wǎng)站上發(fā)布一條關于Guard清洗中心升級解決方案的通告，通告中表示，思科的Guard清洗中心解決方案將面臨一次升級，由思科的合作伙伴Arbor網(wǎng)絡公司繼續(xù)提供新的、全面綜合的防DDOS攻擊的解決方案。據(jù)稱，“整體解決方案的關鍵因素包含了思科交換及路由平臺的netflow 技術，Arbor Peakflow SP及清洗系統(tǒng) (TMS威脅管理系統(tǒng))。思科特別指出，為了今后的發(fā)展，建議客戶遷移/升級到這個新的體系結構作為DDOS攻擊的保護?！?/P>

我們知道，在國內(nèi)，思科的Guard清洗中心解決方案已經(jīng)被成功的廣泛應用于大型互聯(lián)網(wǎng)運營商、主機托管中心以及大型企業(yè)客戶，有著很好的市場潛力，那么這樣一款產(chǎn)品，為什么最終會交由合作伙伴Arbor Networks來升級推出下一代產(chǎn)品呢？其實，其中最關鍵的因素就在于，云計算時代的到來，網(wǎng)絡應用環(huán)境的復雜性與攻擊變化的多樣性快速提升，使得安全變?yōu)橐粋€更需要專注和專業(yè)的“技術工種”。

根據(jù)云安全聯(lián)盟的調(diào)查，在云計算服務模式下，互聯(lián)網(wǎng)應用層面的安全性變得越發(fā)突出。從著名的信息安全博客——賽道（www.sectao.net）我們了解到，在近期網(wǎng)絡中20個最高級別安全威脅中有16是應用層威脅，許多攻擊、信息泄密都是由于應用層出現(xiàn)了問題。在企業(yè)業(yè)務應用的部署方面，像微博、Facebook、 Sharepoint、wiki等應用的迅猛增長，都帶來了大量的風險，數(shù)據(jù)丟失、法令法規(guī)、運營成本、 生產(chǎn)力下降、業(yè)務持續(xù)性等問題。

具體到DDoS攻擊上面，我們回顧其解決方案的發(fā)展過程可以發(fā)現(xiàn)，在2000年時互聯(lián)網(wǎng)剛剛興起，用戶通常采用DDoS防火墻即可有效抵御攻擊。而在2005年，隨著Web 2.0的蓬勃發(fā)展，托管服務安全供應商（MSSP）成為了那一時代的最佳解決方案。如今進入了云計算時代，原有的方式顯然已經(jīng)并不適用。

正是基于這種考慮，思科決定停止對Guard模塊繼續(xù)研發(fā)，轉而與長期合作的互聯(lián)網(wǎng)頂級流量分析者Arbor公司進行合作，通過集成路由與安全技術實現(xiàn)異常流量（主要是DDoS）“云”清洗系統(tǒng)，將Clean Pipes解決方案升級到了2.0版本。在Clean Pipes 2.0中，Arbor Peakflow SP 威脅管理系統(tǒng)（TMS）將成為Guard的升級方案。而新的方案，最終將通過SaaS（安全既服務）的方式，實現(xiàn)高效率的“云清洗”。

誰是最有希望的“拆彈部隊”？

那么，為什么思科選擇了在國內(nèi)名不見經(jīng)傳的Arbor Networks作為推薦給客戶的“下一代選擇”？在未來的云計算安全問題上，又有那些企業(yè)成為最有希望的“拆彈部隊”呢？

事實上，我們仔細研究一下Arbor Networks就可以發(fā)現(xiàn)，其獲得思科的青睞并不僅僅是因為與思科長期的合作以及投資戰(zhàn)略加股東關系，更重要的是，Arbor具備獨有的運營商級部署與ATLAS威脅可見性的經(jīng)驗數(shù)據(jù)積累。

Arbor Networks并不是擠進“云計算餐桌”的遲到者，實際上，它一直是這個領域潛在的領導者，在國外市場上，其用戶包括全球70% 以上的運營商和大型企業(yè)。其基于運營商經(jīng)驗長期積累的ATLAS威脅庫，使得Arbor Networks的口號“了解你的網(wǎng)絡（Know Your Network)”不是一句空談，也正是這種真正的掌控和了解，才能使得未來云計算應用中復雜多變的安全威脅得以剔除和解決。

窺一斑而知全豹，從思科Guard到Arbor Networks新解決方案的升級，我們可以看到未來解決云計算安全問題的端倪，那就是，云計算下的安全威脅，不能再僅僅圍繞各種“安全策略”，而是需要安全企業(yè)更多地植根于具體的網(wǎng)絡應用，并能通過技術手段實時了解和感應這些應用，才能真正化解云計算應用中多變的安全威脅。

剛剛獲得奧斯卡獎的電影《拆彈部隊》在片首有這樣一句話“……war is a drug”，是的，網(wǎng)絡發(fā)展所積聚的財富與價值，會讓越來越多的人在攻擊和破壞中“成癮”，信息安全的戰(zhàn)爭永遠不會停止，而每一家有責任心的安全企業(yè)最大的榮譽，就是行動起來，成為這個“云時代”合格的“拆彈部隊”。

鏈接（圖）：第三代基于"云"計算的清洗中心主要四大特點：

一：智能檢測分析系統(tǒng)與清洗中心一體化，基于運營商級的全網(wǎng)監(jiān)控系統(tǒng)統(tǒng)一控制流量的流向并決定清洗行動。提高了預見性與準確性。

二："云"清洗系統(tǒng)針對應用層的攻擊防護具有特別設計包括（DNS， HTTP， SIP 等），并率先支持下一代IPv6的網(wǎng)絡環(huán)境。

三："云"清洗系統(tǒng)具有異常流量的溯源能力并結合ATLAS威脅數(shù)據(jù)庫與指紋機制實時防范最新攻擊，包括零日Zero-day攻擊；

四："云"清洗系統(tǒng)針對被保護對象的自服務門戶功能為運營商大范圍提供異常流量清洗服務提供了基礎，改善了購買DDoS服務的用戶體驗。

圖1