云時(shí)代需要與之匹配的安全解決方案。單點(diǎn)的、被動(dòng)的傳統(tǒng)安全方案無(wú)法滿足云計(jì)算虛擬、動(dòng)態(tài)、異構(gòu)的環(huán)境。正是基于這樣的考慮，浪潮在2014“Inspur World”浪潮技術(shù)與應(yīng)用峰會(huì)上宣布推出云主機(jī)安全產(chǎn)品解決方案，以可信服務(wù)器為根基，通過(guò)構(gòu)建從可信服務(wù)器、虛擬化安全、操作系統(tǒng)加固到應(yīng)用容器安全的完整“信任鏈”，實(shí)現(xiàn)完整、主動(dòng)的安全。

“老三樣”解決不了新問(wèn)題

“當(dāng)前我國(guó)安全防護(hù)的現(xiàn)狀是仍然傾向老三樣，防火墻、入侵監(jiān)測(cè)、防病毒。” 國(guó)家信息化專家咨詢委員會(huì)委員、中國(guó)工程院院士沈昌祥在浪潮Inspur World大會(huì)云數(shù)據(jù)中心安全分論壇表示，云安全的發(fā)展遠(yuǎn)遠(yuǎn)滯后于云計(jì)算和大數(shù)據(jù)的發(fā)展。

與傳統(tǒng)數(shù)據(jù)中心相比，云數(shù)據(jù)中心存在新的安全風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)包括新的技術(shù)和應(yīng)用模式。比如針對(duì)虛擬化的Rootkit攻擊，一旦被攻破將波及整個(gè)業(yè)務(wù)系統(tǒng)，而不僅是單臺(tái)服務(wù)器暴露在危險(xiǎn)之中，已經(jīng)實(shí)現(xiàn)虛擬化的數(shù)據(jù)和資源將會(huì)產(chǎn)生連帶風(fēng)險(xiǎn)。

此外，傳統(tǒng)安全威脅也在云時(shí)代被放大，云計(jì)算平臺(tái)是一個(gè)通用的平臺(tái)，其上可以運(yùn)行多種多樣的網(wǎng)絡(luò)應(yīng)用，因此也可能帶來(lái)各種不同的安全威脅。這幾年最危險(xiǎn)和最隱蔽的高級(jí)持續(xù)性威脅攻擊(APT)也瞄準(zhǔn)了云數(shù)據(jù)中心，通過(guò)鏈路層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層(Web、數(shù)據(jù)庫(kù)等)等各個(gè)層面，把擁有大量關(guān)鍵業(yè)務(wù)數(shù)據(jù)的云主機(jī)作為攻擊目標(biāo)。

那么，云時(shí)代的需要什么樣的安全保護(hù)?

基于可信計(jì)算構(gòu)建“信任鏈”

“可信計(jì)算改變了傳統(tǒng)的‘封堵查殺’等‘被動(dòng)應(yīng)對(duì)’的防護(hù)模式，形成‘主動(dòng)防御’能力，滿足云數(shù)據(jù)中心安全需求。” 沈昌祥為云安全指明了方向，并且從應(yīng)用效果來(lái)看，“已經(jīng)證明可信計(jì)算對(duì)于國(guó)內(nèi)多類(lèi)計(jì)算機(jī)設(shè)備和操作系統(tǒng)來(lái)說(shuō)，是完全可行的有效的網(wǎng)絡(luò)安全技術(shù)和管理措施。”

可信計(jì)算是指在計(jì)算的同時(shí)進(jìn)行安全防護(hù)，計(jì)算全程可測(cè)可控，不被干擾。具有身份識(shí)別、狀態(tài)度量、保密存儲(chǔ)等功能。其核心思想是通過(guò)在硬件上建立計(jì)算資源節(jié)點(diǎn)和可信保護(hù)節(jié)點(diǎn)并行結(jié)構(gòu)，從平臺(tái)加電開(kāi)始，到應(yīng)用程序的執(zhí)行，構(gòu)建完整的信任鏈。

完整的信任鏈在可信計(jì)算中最重要的一環(huán)。華中科技大學(xué)計(jì)算機(jī)學(xué)院的鄒德清教授指出：“在云系統(tǒng)安全構(gòu)建上，需要分析云系統(tǒng)動(dòng)態(tài)復(fù)雜性特征，研究面向海量實(shí)體復(fù)雜信任關(guān)系的信任模型、信任基、信任度量和判斷等。”即達(dá)到體系結(jié)構(gòu)、操作行為、資源配置、數(shù)據(jù)存儲(chǔ)、策略管理上的整體可信。

構(gòu)建信任鏈的優(yōu)勢(shì)在于，從安全技術(shù)上講，其將可信計(jì)算從單機(jī)擴(kuò)展到虛擬化和分布式結(jié)算，保證了云數(shù)據(jù)中心中各種行為的可控性，此外云主機(jī)系統(tǒng)在數(shù)據(jù)處理和業(yè)務(wù)運(yùn)行中的完整性、保密性和可用性也可以得到充分保障;而從管理措施上講，云主機(jī)安全系統(tǒng)采用白名單機(jī)制，建立了嚴(yán)格的準(zhǔn)入制度，并在運(yùn)行中一級(jí)測(cè)量一級(jí)，一級(jí)信任一級(jí)，從而實(shí)現(xiàn)云計(jì)算管理的可控和安全。

以可信計(jì)算為基礎(chǔ)，構(gòu)建完整的信任鏈?zhǔn)墙鉀Q云時(shí)代安全的必由之路。浪潮云主機(jī)安全產(chǎn)品解決方案正是踏準(zhǔn)時(shí)代的節(jié)拍而來(lái)。浪潮集團(tuán)信息安全事業(yè)部副總經(jīng)理蔡一兵博士表示：“浪潮云主機(jī)安全產(chǎn)品解決方案以可信服務(wù)器為根基，構(gòu)建鏈接固件、虛擬主機(jī)、虛擬操作系統(tǒng)和上層應(yīng)用的軟硬一體化‘信任鏈’，其底層是自主可控，中間是可信，上層是彈性的安全服務(wù)，并建立常態(tài)的安全管理機(jī)制。” 可信計(jì)算之外，該方案還融合了操作系統(tǒng)加固、虛擬化加固、虛擬網(wǎng)絡(luò)控制等安全技術(shù)，可以全面解決云主機(jī)面臨的傳統(tǒng)攻擊以及‘Guest OS鏡像篡改’、‘租戶攻擊’和‘虛擬機(jī)篡改’等新型風(fēng)險(xiǎn)。

中國(guó)亟需自主可控云安全

云安全對(duì)中國(guó)更為重要。“因?yàn)榘踩娘L(fēng)險(xiǎn)不僅來(lái)自于云計(jì)算本身，還來(lái)自于我國(guó)在云數(shù)據(jù)中心的關(guān)鍵系統(tǒng)和設(shè)備上缺乏自主控制權(quán)，缺少可信、可控的安全運(yùn)行環(huán)境。”沈昌祥解釋說(shuō)，“這樣的結(jié)果就是容易遭受‘心臟出血’漏洞、系統(tǒng)癱瘓乃至針對(duì)性攻擊等安全威脅?？梢韵胂笠坏┏休d著有關(guān)國(guó)計(jì)民生重要信息的系統(tǒng)被外部勢(shì)力惡意攻擊，甚至成為網(wǎng)絡(luò)戰(zhàn)的攻擊目標(biāo)，其后果將不堪設(shè)想。”

在云安全領(lǐng)域，以浪潮為代表的一批公司切實(shí)推動(dòng)了可信計(jì)算技術(shù)的應(yīng)用，已經(jīng)實(shí)現(xiàn)了國(guó)際TPM2.0標(biāo)準(zhǔn)版本，以及中國(guó)商用密碼標(biāo)準(zhǔn)算法SM2，SM3和SM4在云計(jì)算中的實(shí)際應(yīng)用，帶動(dòng)整個(gè)云數(shù)據(jù)中心安全產(chǎn)業(yè)鏈發(fā)展的進(jìn)程。