26 9月 2015

中美网络安全达成共识之漫谈:未来路长且艰

中美网络安全达成共识之漫谈:未来路长且艰

世界第一大经济体与世界第二大经济体领导人的会晤焦点已经从经济、军事、外交、文化等传统双边领域转向网络安全——这个诞生不久并且长期隐匿于谈判桌之外的重要议题。

中美首脑达成共识:不从事网络商业间谍活动

上周五,赴美访问的中国国家领导人习近平与美国总统奥巴马共同现身在白宫玫瑰园举行的新闻发布会。

奥巴马表示,两人已达成共识,美国和中国都不应为了窃取知识产权而开展政府支持的网络入侵行为,双方将共同寻求“网络空间的适当行为方式,达成国际规则”。

奥巴马强调:美国仍会用尽所有方法制止及追究网络罪行,并会制裁涉及网络商业间谍活动的个人及企业。

ct_zhongmei_1

习:合则两利,斗则双输。

习近平表示中国是网络用户最多的国家,有6亿网民,中美双方应该合作,合则两利,斗则双输。他同时认为,中美应加强合作,而不应将网络安全问题政治化。

外媒热议:习奥会成果未达预期,分歧难消

一个是发明了互联网的国家,一个是现在拥有互联网用户最多的国家,此次达成的“共识”似乎仍不能解决两国目前共同面临的网络安全争议。然而,想在一次高层会面中就解决所有问题,那可真是天方夜谭:孩子,你还太年轻了。

此前有报道称中美正在商讨在虚拟空间采取某种形式的“武器控制”,比如在和平时期不首先以对方的重要基础设施为目标。华盛顿所传达的讯息则显示出这样的态度:在虚拟空间里政府对政府的间谍行为是可以的,但不应该为了商业利益对企业试试间谍活动。

估计这便是达成此次共识的基准线。

而一向保持意见独立的《纽约时报》尖锐地指出:在发布会上习奥均努力展示出他们在约束网络攻击方面取得的进展,不过“他们并没有直接提及一些最具争议的议题,其中包括美国宣称的人事管理办公室2200万美国人安全档案被窃,由中国背景主使的指控”。

中美博弈网络安全,连累科技公司

有媒体曾报道,早在2013年加利福尼亚的峰会上,奥巴马就准备以网络间谍为首要议题与中国领导人正面“对话”,只是后来被爱德华·斯诺登的“棱镜门”爆料所干扰。美国不得不放弃针对中国转而收拾起自己的烂摊子。

面对美国就网络安全问题的频频发难,中国官员始终坚持:提及网络间谍,中国更多是受害者而不是加害者。

而美国在网络间谍问题上面的双重标准让中国也颇为恼火:

美国一而再再而三地用实际行动表明,其反对的并不是网络间谍活动,NSA、FBI、CIA等甚至热衷于掌握地球上的所有信息;而中国在这一领域的实力逐渐发展壮大让美国感受到了深深的不安,或许扮演受害者的角色更容易让美国就这一问题在国际上博得同情。

对于“美国制定规则,中国等其他国家执行”的游戏,中国岂能全盘接受?

ct_zhongmei_02

 

而中美双方在网络间谍问题上的紧张关系也影响到了其他方面,例如一些想要在中国发展的美国科技公司。

据BBC的报道,这些美国科技公司面临着双重压力:一方面要证明他们的产品当中没有‘后门’可以暗中为NSA服务,同时在某些情况下,这些美国公司又被中国政府要求开设后门,好让中国政府可以绕过产品的加密系统。”

网络安全立法:国国都有本难念的经

网络安全并不是一个今天才出现的重要议题,只是由于受到更多的重视,终于回归了它本该有的地位。

网络的诞生不过短短数十载,却越来越成为日常生活、工作的重心。没有规矩不成方圆,随着这个虚拟世界对现实社会的影响力不断增加,网络无边、无界、无限、无序的模样将不再被人接受,于是高智的人类又选择了最简单粗暴解决方式:制定法律。

中国

中国所倡导的“综合安全观”从政治、军事、经济等多个方面综合考虑国家安全,基于此网路和信息安全都是整体国家安全观的重要组成部分。而正在酝酿中的《中华人民共和国网络安全法(草案)》或将重建中国网络安全规则,为今后的网络安全事件的裁决提供法律依据。

当然这并不能终止未来的网络犯罪活动,法律的完善不是一蹴而就的,是一个需要长期并持续修订的过程,但是不妨将其视为一个良好的开端。

美国

我们再次将视线转向美国,美国国内对于网络安全的争议主要集中在信息分享方面。除了“许多与网络安全有关的信息分享,大部分已经在其他相关法律的保护范围内,因此没必要通过专门为网络安全信息分享立法”的争议之外,公民个人隐私权的保护也是讨论的焦点与挑战。

美国政府与科技行业之间的“加密战”也愈演愈烈,网络安全与个人隐私保护之间的矛盾始终无法得到平衡与解决。

欧盟

目前欧盟的“网络安全法规”尚未出世,但是自1992年至2013年间欧盟就已经推出了35项网络空间安全政策法规,其中《数据保护指令》、《隐私与电子通信指令》和《数据留存指令》,为欧盟个人数据保护法律体系奠定了基础,包括英、法、德、荷兰、西班牙、瑞典等多国在内的欧盟成员国普遍制定实施了保护个人数据信息的相关法律。

据粗略观察,欧盟涉及个人隐私的法律条款严格程度堪称全球典范。

澳大利亚

澳大利亚将从今年10月13日起执行一项计划:强制网络数据保留。届时,政府将合法从互联网服务提供商获取个人的网络信息,其中包括:电子邮件、电话通讯、网络在线活动与社交媒体数据。

这是澳政府在捍卫网络安全方面做出的重大举措,而公民隐私的牺牲是否能换来一个安全的澳洲网络空间,这个命题尚且需要时间去证明。

印度

印度政府似乎并美英等国更加果断决绝,最近推出了新政策草案——“国家加密政策”,强制印度互联网用户以明文方式保存加密的通信数据至少90天,还要求网民与政府及安全机构共享加密秘钥。

该项草案已经公示便引发印度民众的巨大愤慨,于是仅一天印度政府便撤回了草案,并表示会对部分引起“误解”的内容重新措辞。

小结

这是最好的时代,也是最坏的时代。

卷入这场互联网龙卷风的我们有幸成了规则制定过程的历史见证人,甚至是制定者。然而,这是一条没有人走过的路,去往天堂的途中可能会经过地狱,只是聪明的人选择不久留。

26 9月 2015

新型漏洞!利用浏览器窃取私人信息

新型漏洞!利用浏览器窃取私人信息

新型漏洞:利用浏览器Cookie绕过HTTPS并窃取私人信息

近期,一个存在于主要浏览器的Web cookie中的严重漏洞被发现,它使安全的浏览方式(HTTPS)容易遭受中间人攻击。

大部分Web网站和流行的开源应用程序中可能都含有Cookie注入漏洞,包括:谷歌、亚马逊、eBay、苹果、美国银行、BitBucket、中国建设银行、中国银联、京东、phpMyAdmin以及MediaWiki。

美国计算机紧急响应小组(CERT)披露,所有的主要浏览器厂商不恰当地实现了RFC 6265标准,也称为“浏览器Cookie”,这使得远程攻击者能够绕过安全的HTTPS协议,并能够泄露秘密的私人会话数据。

HTTPS Cookie注入漏洞

Cookie是Web网站发送到Web浏览器上的一小片数据,它包含用户识别用户身份的各种信息,或储存了与该网站相关的任何特定信息。当一个你访问过了的网站想要在你的浏览器中设置一个Cookie时,它会传递一个名为“Set-Cookie”的头、参数名称、它的值和一些选项,包括Cookie的过期时间和域名(它有效的原因)。

此外,同样重要的是要注意一点,基于HTTP的网站不以任何方式加密头信息,为了解决这个问题,网站使用带有“安全标志(secure flag)”的HTTPS Cookie,这表明Cookie必须通过一个安全的HTTPS连接发送(从浏览器到服务器)Cookie。

然而,研究人员发现,一些主要的Web浏览器通过HTTPS接受Cookie,甚至没有验证HTTPS Cookie的来源(Cookie forcing),这使得在明文传输的HTTP浏览会话中,处于中间人攻击位置的攻击者将注入Cookie中,而这些Cookie将用于安全的HTTPS加密会话。

ct_liulanqi _1

 

对于一个不受保护的浏览器,攻击者可以将HTTPS Cookie伪装成另一个网站(example.com),并以这种方式覆盖真正的HTTPS Cookie,这样即使用户查看他们的Cookie名单,可能也不会意识到这是一个虚假的网站。现在,这个恶意的HTTPS Cookie由攻击者控制,因此他能够拦截和抓取私人会话信息。

影响范围:

在8月份华盛顿举办的第24届USENIX安全研讨会上,首次披露了该问题。当时,研究人员展示了他们的论文,文中提到大部分Web网站和流行的开源应用程序中可能都含有Cookie注入漏洞,包括:谷歌、亚马逊、eBay、苹果、美国银行、BitBucket、中国建设银行、中国银联、京东、phpMyAdmin以及MediaWiki。此外,受影响的主流Web浏览器包括以下浏览器的早期版本:

1、苹果的Safari

2、Mozilla的Firefox

3、谷歌的Chrome

4、微软的IE浏览器

5、微软的Edge

6、Opera

然而,好消息是,这些供应商现在已经解决了这个问题。所以,如果你想保护自己免受这种Cookie注入、中间人攻击向量,那么就将这些浏览器升级到最新版本。CERT还建议站长在他们的顶级域名商部署HSTS(HTTP Strict Transport Security)。

17 9月 2015

信息安全之异常行为分析谈

信息安全之异常行为分析谈

凡走过,必留下痕迹”:信息安全之异常行为分析谈

(一)、引言:披着羊皮的狼

外部攻击者进入内网后,到最后偷取数据,中间是要进行很多的所谓“活动”,其行为一定会有区别与正常的用户行为,他一定会到处找目标,可能会东张四望,可能访问不该访问的地方,可能越权去做不该做的操作,可能以同一身份通过不同设备登录。这种行为称为攻击者的“内部潜行”(lateral movement)。高明的攻击者在进入内网后,都倾向伪装成合法用户的身份去做一些非法的事情。如何通过异常能发现披着羊皮的狼就很关键了。

ct_xinxi_1

 

引用网上一段更学术的话: “如果说“基于特征匹配的检测防范了已知威胁”、基于“虚拟执行的检测阻止了未知恶意代码进入系统内部”,那么对于已经渗透进入系统内部的恶意代码而言,“异常行为检测成为了识别该类威胁的唯一机会”。

APT攻击者企图隐藏一切,但当攻击发生时,流量和行为无论如何伪装也会展现出来。

(二)、异常行为分析的重要性和必要性

单纯的防御措施无法阻止蓄意的攻击者,这已经是大家都认同的事实,有一句话这两年经常听到“世界上只有两种组织:知道自己被黑的、不知道自己被黑的”,可 以更延伸的说两种组织:值得被黑的,不值得被黑的”,被攻击是不可避免的,信息安全的建设思路出发点是“止损”,能快速发现异常并及时处置确保最小化的损失。非常类似人体的免疫力,及时发现异常,非自身的组织细胞人体会本能的排斥。

笔者经历过多次的信息安全事件,其实并不是每个安全事件都能找到最后的原因,更不用说追踪到攻击者或恶意行为者。多年前曾处理过一个安全事故:用户的系统一天出现了30多万的国际长途电话费用,最后组织各方力量也未能查到到底谁干的,基本的判断可能是内部开发人员在代码中潜入了拨打的代码,并能在某个时间触发。携程的应用宕机事件其实到底什么原因作为外人不得而知,但是内部肯定要花足够的成本才能确定是肯定的事情。

异常行为发现就是很好的止损的一种思路,比如银行的ATM取款机每天只能取走2万现金,这些看似很简单的限制其实作用非常大。比如某单位每天的国际话费门槛为1万,超过就告警。

大家现在乐于说信息安全看见(visibility )的能力很重要,要知己知彼,其实异常行为是最关键的一条安全线索。先能看见,才能做好后续的风险控制。

另:互联网业务未来看加密一定会常态化,DPI、内容识别的路子越来越窄。异常行为的前途会越来越广阔。

(三)异常行为场景举例

以下异常场景大家可以想想:

  • 新疆乌鲁木齐加油站:观察到一个车一天到加油站加三次油,异常。(收集这么多汽油有其他企图?)
  • 一个内部服务器,某天与内部的其他服务器都突然有大量的访问连接。(是不是外部攻击者在内部的“横向潜移”寻找目标?)
  • 网络有个超长会话连接。(外联的IP是什么,是业务故障还是连接C&C的异常行为?)
  • 某个用户突然有一天接收了大量的历史邮件。(接收过的邮件一般用户都不会再看,这次异常是用户自己操作的吗?)
  • 用户登录的终端忽然换了浏览器。(是别人冒名登录还是用户重新使用了新的设备?)

异常行为有很多类型,比如登录异常行为包括了:异常时间、异常IP、多IP登录、频繁登录失败等。比如业务违规行为:包括恶意业务订购、业务只查询不办理、高频业务访问、业务绕行等等。

(四)行为模型

采用5W1H分析方法为主线进行行为建模分析,并进行责任认定,采用迭代等方法。

(五)异常行为分析思路

攻防最终是资源的对抗:许多大数据分析平台目前都在基于行为分析的模型上做文章。通过获取样本,机器学习建立正常行为模型,然后分析内部网络流量的行为,并发现异常。

异常行为发现是安全监测的很重要触发点,安全也是对抗,和战争一样,最终拼的是资源。如何更有效的使用资源最关键。通过发现异常行为,再逐步深入采用更高成本的流量分析、沙箱执行、人工介入等。

(六)异常行为的钻取、追责

从线索出发,大数据时代的如果直接考虑确定性证据,会错失很多机会。安全分析员需要的是线索,线索只能代表相关性,而不是确定性,钻取这个词会越来越常见,安全分析的过程需要将一连串的线索穿起来,由点及面进而逼近真相。 举个例子:从可疑IP、关联到访问的用户,从可疑的用户关联到其使用应用、数据库或相关敏感文件等,以时间维度,确定出恶意行为的行为序列,并给出严重的级别。

(七)结束语

多年前,与小榕一起同事的时候,有次讨论“流光、溯雪和乱刀”等一脉的工具特点时,榕总有一句话印象足够深刻:“破解是王道”。

这里末尾也套用一句“异常行为发现是信息安全的王道

14 9月 2015

​2015年度RightScale关于云计算的报告

​2015年度RightScale关于云计算的报告

1 摘要

2015年1月,RightScale调查了930个来自不同行业和组织的专业人员,对他们关于采用云计算的观点作了汇总。

2015年度云计算使用调查报告的关键发现有:
Cloud是即成事实,并且混合云是一个用户首选的策略

· 93%调查的组织已经在IaaS上运行应用或者正在评估IaaS

· 相对于2014年74%的比例,82%的企业已经有了混合云的策略

公有云的使用比例领先,但私有云承载了更多的应用

· 88%的组织正在使用公有云,而63%在使用私有云

· 13%的企业在公有云上运行了超过1000个VM,而22%的企业在私有云上云心过了超过1000个VM;

企业向云端迁移还有更大的空间

· 68%的企业仅仅在云上运行不到1/5的应用;

· 55%的企业证实很大部分关键业务并没有运行在云上,但是这些应用都已经采用了Cloud-Friendly的架构

企业的核心IT团队是云服务的关键力量

· 62%的企业证实他们的核心IT团队是做出云端采购决定的主要力量;

· 43%的IT团队在提供一个自服务门户来提供对云端服务的访问,而41%的企业正在考虑开发一个门户;

DevOps在上升;Docker开始起飞

· 66%的被访者已经采用了DevOps,而采用的企业达到了71%;

· Chef和Puppet的使用分别为28%和24%;

· Docker,在第一年,已经有13%的组织在使用,35%的组织在考虑使用;

AWS继续领跑公有云,Azure则在企业得到了不错的进展

· 57%的被访者采用了AWS,而Azure比例从2014年的6%增长到12%;

· 企业受访者中,相对于AWS的50%采用比例,有19%采用了Azure IaaS;

· 紧接AWS和Azure之后,有10%的企业采用了vCloud Air(译者注:VMWare的混合云);

2015年私有云进展缓慢

· VMWare vSphere继续领跑,有53%的企业受访者用其作为私有云;

· 2015年企业使用OpenStack得到了3%的增长(已经是最大的增长了);

· Azure Pack在推出的第一年取得了11%企业的有力支持;

2 方法介绍

2015年1月,RightScale进行了每年一度的云计算使用情况的调查。调查对象涵盖了不同领域的组织的专业人员,对他们采用云基础架构的情况进行了调查。930个受访者级别从技术主管、经理到实践者,代表的组织也涵盖了不同的规模以及不同的行业。受访者代表的公司来自不同的云领域,包括RightScale的用户(24%)和非用户(76%)。他们的回答为当前云的使用状况提供了详尽的信息。
关键的统计数据:

· 被访者的数量:930

· 企业被访者:306

· SMB被访者:624

误差范围:3.2%

3 云成熟模型

在这个报告中,RightScale在分析组织对云使用情况上,使用了它的“云成熟模型”的细分方法。“云成熟模型”把云的成熟度分成了四个阶段。从组织采用云的最少程度到最高程度,这四个阶段分别是:

· 云的观望者:指的是正在制定云策略的组织,但是还并没有在云上部署任何应用。云的观望者希望评估不同的云的选项,来决定什么应用可以在云上实现。

· 云的入门者:指的是已经在开展POC或初步的云的项目的组织。这类用户希望在云上获得更多经验来决定未来的项目。

· 云的开拓者:指的是已经有很多项目或者应用在云上部署了。云的开拓者专注于提高和扩展他们对云资源的使用。

· 云的专注者:指的是很大程度上仰仗云基础设施,并且希望提高云的运营效率和降低云的成本。

本报告的调查对象包含了全部四个阶段的组织,比例如下:

4 关键的发现

4.1 云是一个既定事实,并且混合云是首选的策略
在上一个云使用调查报告之后的12个月,对云的使用持续增长,93%的受访者证实他们在使用云。88%的受访者使用了公有云,63%的使用了私有云,58%两者都有。

当比较大公司和小公司对云的使用情况时,很有意思的是大企业受访者很大程度集中在了“云的入门者”和“云的开拓者”上。在去年一年时间,有很多的企业进入了“云的开拓者”的行列,“云的开拓者”比例从2014年的25%上升到2015年的38%。

大的组织正努力向着云前进,只有3%的大企业受访者希望仍然停留在“云的观望者”阵营。

有意思的还有,大企业希望使用多个云,82%的受访者希望支持多云策略,而2014年这个比率只有74%。今年的调查发现,55%的大企业正在计划实施混合云,13%希望使用多个公有云,而14%则希望使用多个私有云。

4.2 企业更广泛的采用公有云;更深入的采用私有云。
虽然公有云的使用在数量上保持了领衔,私有云却在使用程度上占了优势。只有13%的大企业受访者在公有云上运行了超过1000个VM,但是却有22%在私有云上运行了超过1000个VM。对比起来,大企业通常都有长期运行的虚拟化环境,42%提供了1000个VM或者更多。在使用程度上保持领先的私有云,代表了现有的虚拟环境已经被增强或者重新标注成私有云。
但是,当我们朝前看的时候,大企业正期望增加他们在公有云上的使用程度。在12个月内,27%的大企业受访者希望在公有云上运行超过1000个VM,远超过了现在的13%。私有云的使用程度也会增长,31%的受访者期望使用1000个或者更多的VM在私有云上,而这一比例2014年是22%。经过这一年的观察,我们发现大企业正在均分他们在公有云和私有云上的使用程度,而非云的虚拟环境却保持不变。

4.3 更多企业应用向云端迁移的巨大空间
虽然云的采用速度增长很快,但是企业仍然只是在云上运行一小部分应用。大多数(64%)受访者证实,他们只有不到20%的应用跑在云上。
但是,他们同样证实了将更多的应用迁移到云端的更大空间。大多数(55%)受访者证实至少有20%的应用是构建在Cloud Friendly架构上的,以便于迁移到云上。
在所有的准备迁移到云端的应用中,只有一小部分企业证实他们会将其全部运行在云上:38%的受访者提到他们会将开发和测试运行在云端,34%会将全部或者大部分网站运行在云端,而只有30%的提到他们会将所有Web应用运行在云端。

4.4 企业核心IT团队掌控并代理云服务
早期的公有云的使用主要是由一些专注于技术的小公司和大公司里面关注前沿技术的业务部门来驱动的。最近,当企业越来越习惯云计算的相关技术之后,企业的核心IT团队在企业购买云服务的决策上作用越来越明显。超过62%的企业受访者提到大部分的云服务采购策略是由内部IT团队决定的。

但是,企业内部的核心IT团队和业务部门在核心IT团队应该扮演什么样的角色上有着截然不同的观点。2014年的云计算使用调查报告反映了两者巨大的差异化:业务部门通常认为核心IT团队的角色是有限的。这种冲突的起因主要是来自于业务部门对于业务更灵活的需求,而且他们认为核心IT团队在云的采用上的太多过于谨慎,特别是公有云服务。
核心IT团队对云安全的关心程序下降了,从2014年的47%下降到2015年的41%。因此,核心IT团队增加了他们对公有云的注意力,28%的核心IT团队受访者反映公有云是他们2015年的头号重点,而这一比例在2014年只有18%。

这两个群体的共识加强了,2015年40%的业务部门受访者认可核心IT团队应该成为云服务的Broker,而在2014年只有18%。虽然仍然有很多分歧,两个群体的40%都认可核心IT团队应该作为云服务的“代理”角色。

更多的核心IT团队在提供企业的云服务门户。2015年,超过43%的企业受访者提到他们已经使用了多云的门户,而41%的正在计划提供。

除此之外,核心IT团队得到从内部业务部门的更大更清晰的声音,也就是后者业务快速开通的需求。在提供自服务门户的企业当中,80%的受访者可以在1小时内开通业务,而这一比例在2014年只有40%。

ct_2015_1

 

虽然核心IT团队正在主导着企业云服务的导入,对云业务使用的监督却在去年一年停滞不前。相当大一部分企业仍然缺少对云服务使用监督的关键要素,包括一个确定的云服务提供商;关于什么样应用应该迁移到云端的指导纲领;云服务的SLA以及容灾策略;以及基本的审批流程。企业在如何实现云端成本控制上取得了一些进步,34%的受访者已经定义了成本控制策略,而这一比例去年是29%。

ct_2015_2

 

4.5 DevOps在上升;Docker开始起飞;
自从2006年AWS的创立,云和DevOps就紧密的结合在了一起。对于许多的组织来说,云基础架构是一个用来支持持续集成和持续交付,以及发布周期的关键支柱,而这些都是由DevOps驱动的。2015年的调查报告显示对DevOps的使用程度在持续增长,从2014年的62%攀升到了66%。大企业,由于其规模带来的复杂性,更是在寻找更高的灵活性。在DevOps的使用比例上,大企业的71%要高于SMB的63%。

随着DevOps的增长,可用的工具在增多。DevOps团队经常会使用一些自动化工具,如Chef、Puppet、Salt以及Ansible。在过去一年中,Docker,一种基于容器的实现方案,作为另一种在基础架构上部署代码的方式,正以风暴的速度席卷这个领域。所有的这些工具都和一些提供多云架构的云管理平台配合使用。

Chef和Puppet仍然是最常使用的DevOps工具,分别占据28%和24%。然而,Docker,尽管是第一年,已经取得了13%的支持率。让人印象更深的是,超过35%的受访者提到他们将计划使用Docker。

在大企业受访者中,Puppet是最经常使用的(36%),Chef其次(32%),再之后是Docker(14%)。SMB使用Chef频率更高,为26%,其次是Puppet(19%),以及Docker(13%)。

4.6 Cloud的利益和挑战在演进
2015年,受访者对云使用过程中得到的利益也很广泛。最高的三种是扩展性、快速以及高可靠性。
除此之外,2015年的调查报告还回应了2014年的调查报告的关键发现:和云成熟度模型有关。当大企业开始更广泛的采用云服务,他们开始意识到云带来的价值,而采用云的顾虑下降了。
在2015年,一些在提到的利益得到的巨大增长都是和财务相关的。举个例子,被访者提到的一个利益是从CapEx向OpEx转移,这一点的受访者比例在2015年是38%,而在2014年是28%。认可IT团队的效率提升的比例从2014年的33%提升到了2015年的41%,认可成本下降的比例从2014年的34%增长到了2015年的39%。

同样,在许多特定的云的挑战上有着巨大的增长。当云被采用的范围扩大,公司沿着他们的云端路线前进,对于稀缺的云专家的竞争加强了。因此,云资源和专家的匮乏是27%受访者认为的主要挑战,而这一点在2014年是17%,仅次于对云安全性的顾虑。
另一个被经常提到的挑战是多个云服务的管理(2015年的25%,相对于2014年的18%)。当企业增加他们云服务的数量,他们开始为不同云服务提供商上的可控、自动化、监督能力而烦恼。为了帮助企业认识这些挑战,我们在《The Definitive Guide to Cloud Portfolio Management》里面列出了关键的步骤和成功的路线。

5 云端竞争加强

在2013年之后更多的云服务提供商进入市场,我们开始看见尘埃落定,以及更清晰的竞争蓝图。在去年12个月内,我们开始看见了Microsoft和Google以及VMWare vCloud Air的变化。在私有云战线上,VMWare和OpenStack继续演进各自的方案,而Microsoft则引入了Azure Pack,后者在微软私有云方案上提供Azure公有云的API。
我们要求受访者告诉我们,他们是否是正在云上运行应用,还是他们在评估云,还是计划使用云,抑或是没有计划使用云。正如前面提到的,大部分企业已经在使用多个云,所以总共加起来会超过100%。这些结果显示了受访者是否是在使用任何一个云,但是并没有提到他们在某个云上跑了多少应用。

5.1 AWS继续领跑公有云,Azure则在企业得到了不错的进展
毫无疑问,AWS继续领跑公有云,57%的受访者在AWS上运行应用,而2014年是54%。这个比例相当于最接近的竞争者的4倍。Azure IaaS进入了第二的位置,从2014年的6%变成了2015年的12%。
Azure和Google提供的IaaS服务则继续保持着潜力。29%的受访者正在评估或者计划使用这两个云。AWS,虽然已经是最大的份额,仍然有24%的受访者表示了兴趣。

特别注意:VMWare vCloud Air是VMWare vCloud Hybrid Service重新包装之后的服务,因此我们也做了对比。我们相信去年的负增长主要是因为,去年受访者对VMWare产品线疑惑造成我们去年报告对于VMWare vCloud Hybrid Service的过高估计。
在2015年,大企业(1000人以上)的云服务领域的竞争变得很有意思。
AWS仍然保持领先(50%,相对于2014年的49%),但是Azure IaaS快速跟上(2015年19%,2014年11%)。因此,AWS在大企业市场的领先地位,从原有对最接近竞争者的4倍差距变成了2.5倍差距。除此之外,36%的企业受访者正在评估或者计划使用Azure,而AWS这一比例只有24%。我们注意到很重要的一点,是许多企业会考虑同时使用AWS和Azure。Google IaaS去年也在大企业市场取得了进步,从4%发展到了7%。

在更小的组织里面(小于1000人),AWS的支持率在增长(2014年56%,2015年61%)。Rackspace保持了第二的位置(2014年14%,2015年13%),但是有轻微的下滑,因此AWS的领先地位加强了。Azure IaaS也在SMB市场取得了巨大增长(2014年4%,2015年9%)。对于未来SMB计划采用的云服务,Google得票最高,得到了31%。

5.2 私有云在2015年基本没有发生变化
2015年云计算使用调查报告说明,相对于2014年,私有云市场变化不大。
VMWare仍然保持领先,33%的受访者提到使用vSphere作为私有云,13%使用vCloud Director。 OpenStack也有13%的支持率,但是仍然保持很高的热度,30%的受访者表示正在评估或者计划好似用OpenStack。
最大的变化在于微软的Azure Pack,虽然是第一年,但7%的受访者表示已经在使用了。
私有云发展缓慢的一个主要原因是由于部署私有云环境的复杂造成的。但是,这个热度仍然很高,可能会导致明年一个再次的加速增长。

在大企业里面,正如我们所期望的,VMWare是最广泛使用的(53%使用vSphere,26%使用vCloud Suite)。这同2014年基本没有变化。微软的System Center保住了第三的位置,在大企业中有19%的支持率, 而OpenStack从2014年的15%增长到了18%。微软的Azure Pack,虽然很新,但是已经有11%的大企业受访者开始使用了。

在SMB市场里面,VMware vSphere保持了23%的领先地位,而OpenStack则有10%。

6 关键总结:IT团队掌控企业云服务应用

2015年云计算使用调查报告显示了企业在朝着云端迁移的趋势。虽然早先云的使用是由业务部门率先尝试的,核心IT团队正在增加重视程度,并付费。大企业IT部门正快速的向着云服务代理的角色变化(并不仅仅是私有云),来满足内部客户的需求和期望。他们希望通过创建企业服务门户来提供更便捷的公有云和私有云资源的访问,而同时控制成本和保持监督。

10 9月 2015

云计算:IT灵活性VS安全性

云计算:IT灵活性VS安全性

云计算是否具有安全性展示正方与反方两种观点,希望因此引起商业机构管理者的足够重视。

  正方观点一:

软硬件升级更自如

云提供商的任务是管理软硬件升级并修复由于软硬件升级给系统带来的不稳定问题。正是因为上述活动是云提供商的核心业务,因此,云提供商在上述流程中应确保软硬件管理的及时与到位,也许,云提供商之所以备受英国各政府部门重视的原因就是:其提供的服务速度要快于英国各政府部门自己IT(信息工程)部门所提供服务的速度。例如,英国各政府部门的IT部门则不能立即通过采取安装软件补丁包的办法使其系统变得更加顺畅,而云提供服务商则有办法使“鱼和熊掌”兼得。

此外,由于客户的IT流程可以在云计算环境下能够实现从一个物理资源到另一个物理资源的无缝连接与移动,因此,云提供商则能够在不受任何影响的情况下,执行软硬件日常维护、保养与升级活动。

  正方观点二:云计算

增加IT部门的灵活性

同样降低成本的因素也会增加IT部门的灵活性。在云计算环境中,易于配置或解除配置服务使得云计算更加容易地应对英国政府各部门对IT资源业务需求所产生的波动,这些波动是否能够得到预测也是摆在英国政府各部门面前的一个难题。当然,也正是由于云计算易于配置或解除配置的特性,才也使得云计算为英国广大初创企业提供极具诱惑力的市场需求。

与此同时,英国政府各部门的IT部门的内部工作也可以从其资源有限的数据中心中解放出来。例如,云计算通常用于测试新开发的软件:一个非常大的虚拟计算环境中可以模仿真实组织的IT基础设施架构的创建,这种模仿可以真实还原IT基础架构在创建过程中遇到的各种问题。同样的,第三方软件可以在不消耗资源的情况下在云计算环境中得以实验性运行。

  反方观点:

安全性没那么简单

目前,云计算的安全性、相关法律的合规性等问题还没有引起英国政府各部门的高度重视。在安全与合规性问题中,最大的问题就是云计算潜在用户的云计算发展前景所抱有的疑虑。云计算越是发展,其存储在防火墙之外的业务数据如何得到妥善保管成为了云计算潜在客户最为担心的问题。他们认为,风险并不是虚幻的,云计算的安全性应该引起英国政府部门的高度重视。

当然,云计算并不是惟一的风险源,传统局域网计算也存在许多潜在的风险。如何把风险降到最低是云计算潜在用户共同关心的问题。许多潜在用户认为,云计算提供商所能够做的最好的保证安全的方法是能够向广大用户提供一个对其服务能力与水平的详细的评估报告,并确保潜在用户数据的完整性。

数据被存储的安全性是云计算的本质,同时,临界运行的进程也决定云计算提供服务所需的安全级别。在安全性方面,云计算还不能忽视以下几个问题。这些问题包括:云计算外围所受到的黑客攻击、云计算内部所受到的黑客攻击、系统崩溃所造成的安全环境受损以及相关法律问题是否能够得以完善。

01 9月 2015

如何克服云计算的安全问题?

如何克服云计算的安全问题?

某些IT专业人士天性比较保守:由于对安全挑战及其他问题心存疑虑,这影响了他们对所有新颖的创新技术抱有的热情。这一方面纯粹是我们这个行业的本质使然。毕竟,我们的工作是预料风险,想出具有创意的方法来缓解风险。然而,这种谨慎也导致了那种广泛思考和总体结论,最终对于企业组织层面应对每个安全挑战没有多大帮助。比较云安全和传统网络安全时,普遍的怀疑来得尤为明显。许多IT专业人士认为云安全风险比较大。

641.web

之所以会有这样的认识,原因之一完全是由于媒体曝光。随着更多数据迁移到网上,势必会爆出更多的安全泄密事件。由于许多这些泄密事件备受瞩目(牵涉来自几大零售商的客户个人数据),它完全证明了这个事实:诸多企业组织的工作负载在日益迁移到云端。

我们应该要问的问题不是云计算方面是否有更多的安全挑战,而是我们如何改善自身的安全状况,以便更有效地管理风险。最近塔吉特(Target)、联合包裹服务(UPS)及其他商业组织爆出的泄密事件应该不仅仅是表明云不太安全的警示故事,还生动地表明了设计和实施很糟糕的系统如何将大数据置于险境。

2015年云计算安全现状

要是对云计算的现状缺少清晰的认识,就根本无法从大体上探讨传统网络安全与互联网安全的区别。据RightScale公司对IT专业人士开展的调查显示,2015年云计算行情如下:

  • 混合云系统仍是首选的方法,其中应用程序和数据存储在托管服务提供商(MSP)与内部部署型系统之间共享。目前,82%的企业使用混合云模式。
  • 88%的企业将数据存储在公有云上,63%的企业使用私有云。然而,私有云网络通常处理的工作负载比私有云网络来得庞大繁重。13%的企业在公有云上运行的虚拟机数量超过1000个;22%的企业在私有云上运行的虚拟机数量超过1000个。
  • 目前,68%的云用户将不到20%的工作负载存储于网上。一半以上的调查对象声称,另外20%的工作负载目前随时可以迁移到云端,不过仍存储在企业内部环境。

我们可以从上述统计数字中比较清楚地了解谁在使用云、他们在如何使用云。这应该决定我们对于安全的认识。一旦我们更清楚地了解了什么遭到威胁、谁是主要的利益相关者,就能对我们自身的IT基础设施做出更明智的决策。

真实的恐惧与感觉的恐惧

从许多方面来看,云计算和软件即服务是其自身成功的受害者。只要企业的业务经营方式出现巨变,势必会有强烈反应。许多专业人员不是着手应对将数据存储在网上所固有的实际威胁,而是花太多的时间担心无关紧要的事情;这样一来,真正的威胁来临时,我们却毫无准备。不妨看一下云方面的一些最常见恐惧,以及它们为何不如你想象的那么严重。

  • 失去控制权――向云端迁移时,习惯于实际操纵服务器的IT安全专家们常常最焦虑不安。这些专家常常担心:除非自己与存储有数据的硬件待在同一幢大楼,否则自己就无力合理地应对紧急事件。实际上而是要考虑这个事实:让你的IT团队不用肩负处理硬件问题的职责,让他们得以更合理地分配资源。他们还会有更多的时间专注于威胁补救、日志分析和合规管理上。正如CloudPassage公司产品副总裁Rand Wacker撰文的那样,随着我们迁移到云端,“操作思维和风险管理会由原来的认为‘我们必须控制一切’,变成买家和服务提供商分担责任这种模式”。只要你与值得信赖的MSP合作,就没有理由为无法实际访问服务器而焦虑不安。
  • 失去所有权――同样,IT专业人员当中确实存在这种担心:异地保管的数据不像存储在内部环境的数据那样完全属于企业。许多人担心,迁移到云后对遵守《健康保险可携性及责任性法案》(HIPAA)、《支付卡行业数据安全标准》(PCI-DSS)及其他标准的工作会带来什么影响或后果。然后,要消除这种恐惧,只要明智地选择合作伙伴。正如你在选择某个在企业内部工作的合同工所做的那样,也要确保服务协议保证你对自己的数据拥有全面所有权;如果有必要,确保服务协议让你很容易访问这些数据。
  • 缺乏成熟度――有些人一直认为,云标准还没有成熟到足以满足企业层面使用SaaS带来的更高的安全要求这一地步。最终,缺少成熟标准不太可能给云用户带来安全方面的影响。毕竟,更多的数据泄密事件是由具体问题引起的,只要企业组织层面调整问题管理、故障隔离及采用其他做法,很容易解决这些问题。

如果我们想到这每一个反对意见是认知上的问题,而不是云的实际风险,就很容易理解谷歌公司企业安全主管Eran Feigenbaum 所说的这番话了:“云计算即便不比大多数企业如今在传统环境下采取的做法来得安全,至少一样安全。”

云安全Vs传统安全

Feigenbaum接着提出了几个要点,阐述迁移到云端带来的好处。如果你正在决定如何存储数据,别忘了这两点:

  • 重复数据删除和本地存储是传统IT基础设施中风险最高的两个部分。据Feigenbaum声称,66%的USB存储棒丢失;这些丢失的USB存储棒中又有约60%含有商业数据。而在云端,这些风险几乎就不存在。
  • 云计算还消除了采用最新安全补丁方面的延迟。虽然许多企业组织试图花25天至60天的时间来组织管理安全补丁,可是许多CIO透露,这个过程实际上可能长达6个月。然而在云端,一旦有了最新补丁,就可以全面部署补丁。

云安全解决方案还能灵活扩展,伴随贵公司一同成长。如果传统网络要扩展,就需要在新的软件硬件方面做大量投入,而桌面即服务模式让你很容易为团队添加新成员,设置合理的全局访问控制措施,并在贵公司不断壮大时,确保敏感数据得到了保护。

如何优先对待云安全合规?

很显然,迁移到云端在安全方面有诸多优点。迁移到云端时,尽量不要拘泥于传统IT的安全视角。毕竟,新的工作方法需要新的安全方法。下面是针对云调整安全做法和优先事项时需要考虑的三个方面:

  • 及早确定问题。云安全类似解决复杂问题;最好的办法就是,清楚地确定自己的目标。详细列出你在安全和合规方面的优先事项和面临的挑战,在此基础上开展下一步。
  • 访问控制必不可少。大家在谈论云安全问题时经常忘了一点:所存储数据的位置远不如谁访问数据来得重要。制定授权和访问控制措施(包括实施最低权限原则),才是管理风险、限制泄密事件几率的最好方法。
  • 重视安全漏洞测试。安全漏洞测试是云安全管理方面的一个重要辅助手段。你的系统接受的测试越严格,你就越有能力设计和实施积极主动的安全控制措施。
  • 利用这些想法作为起点,你就能更有效地管理风险,并且能够享受云带来的好处,而不危及你的宝贵资产。

“臭名昭著的九大威胁”

综合起来,上述概念应该会指导你如何在云端保持安全。有鉴于此,云用户面临哪些具体的挑战呢?又该如何克服这些挑战?早在2013年,云安全联盟(Cloud Security Alliance)就发布了《臭名昭著的九大威胁》(The Notorious Nine),这篇文章详述了基于云的系统必须做好防范工作的几大威胁。这些威胁包括:

  • 数据泄密,这通常归咎于应用程序的设计存在的缺陷或其他安全漏洞。
  • 数据丢失,归咎于恶意攻击、无意删除或数据中心出现物理问题。
  • 帐户劫持,包括使用网络钓鱼、欺诈或社会工程学伎俩,获得用户的私密登录信息。
  • 不安全的接口,那是由于云服务依赖API来提供验证、访问控制、加密及其他关键功能。这些接口中的安全漏洞会加大安全泄密事件的风险。
  • 拒绝服务攻击,居心叵测的人阻止用户访问某个被其盯上的应用程序或数据库。
  • 恶意内部人员,比如员工或合同工,他们利用自身条件访问存储在云端的私密信息。
  • 滥用服务,这包括黑客使用云的无限资源来破解加密密钥,发动分布式拒绝服务(DDoS)攻击,或者执行借助有限硬件无法实现的其他活动。
  • 摸底工作不够到位,这是云网络受到的最常被忽视的威胁之一。没有充分预料到在云端工作或者仓促开始迁移所带来的风险,会让企业组织面临相当大的风险。
  • 共同的安全漏洞,包括在多租户环境下的不同用户访问的平台或应用程序。在这种罕见的情况下,即便单单一个安全漏洞也会引起严重的后果。

很有意思的是,对迁移到云犹豫不决的人担心的主要问题却并不在这九大威胁之列。对你的服务器拥有物理访问权不太可能阻止得了任何上述威胁;不管采用的标准有多成熟,灾难性丢失或数据泄密的几率同样很大。

如果我们改变方法、体现云计算的现状,并且着眼于上述威胁重视安全,就可能享受迁移到SaaS平台带来的种种好处,又没有风险。

安全即服务Vs内部部署安全

如果你能够成功地管理将数据和应用程序迁移到云带来的风险,下一个合理的步骤自然是将你的安全系统同样迁移到云端。反对安全即服务的一些常见理由包括:将日志数据迁入和迁出云服务提供商面临很长的延迟时间,这么做的话势必让机密数据离开封闭网络。虽然这些因素对一些企业组织来说也许是关键的阻碍因素,但还是有好多令人信服的理由,表明值得考虑丢弃内部部署型安全基础设施,改用云解决方案。

内部部署型安全系统需要专门的工作人员及其他IT资源,而这些IT资源分配到别处可能更合理。将你的安全系统迁移到云端可以腾出资本,并且有需要时,很容易适应贵公司不断发展的形势。最重要的是,对基于云的数据和应用程序而言,基于云的安全是最佳选择。反对云安全的许多理由与反对云存储的那些理由很相似。然而,随着我们处理信息安全的方式日臻完善,完全有理由认为,安全解决方案会随之得到改善。

云端的网络安全合规

凡是云计算安全问题方面的讨论,免不了提到如何应对遵守《健康保险可携性及责任性法案》(HIPAA)、《支付卡行业数据安全标准》(PCI)及其他监管标准所带来的种种挑战。遵守HIPAA在云端来得更容易还是更困难?有没有可能既轻松又经济地在云端实现PCI合规?从某种程度上来说,这些问题的答案集中反映了云安全Vs传统安全这个更庞大的讨论。云端合规需要考虑有别于内部部署型系统的一系列不同因素。它未必来得难度更大或成本更高,但是需要密切合作以及战略性配置资源。之所以会有这样的认识,原因之一完全是由于媒体曝光。随着更多数据迁移到网上,势必会爆出更多的安全泄密事件。由于许多这些泄密事件备受瞩目(牵涉来自几大零售商的客户个人数据),它完全证明了这个事实:诸多企业组织的工作负载在日益迁移到云端。