雲端發展在近年資訊產業可說是繼虛擬化、綠能化議題後逐漸蓬勃的方向,幾乎所有調查機構如IDC、Gartner等,皆認為雲端運算是未來IT應用的必然發展。隨著雲端運算技術和服務已成為全球各產業的熱門應用,如何確保雲端運算資訊安全,更是提供與應用雲端服務時必須討論的議題。
雲端環境時常會提到multi-tenancy(多租戶)的概念,讓所有使用者分享同一套基礎建設與系統,而依不同使用者給予不同的權限與資源量。這是一種比較有效率的資源使用方式,而虛擬化就常是用來實現雲端應用的一項工具,進而虛擬化之後的安全性也逐漸受到重視。
傳統上,我們在實體主機之間要求安全控制時會使用軟體或硬體防火牆,座落在流量路徑上或是實體主機裡。虛擬化之後所有網路活動都在虛擬平台中執行,與傳統在流量路徑上另加防火牆的觀念大異其趣。然而在周延的雲端環境中也需要安全機制來管理虛擬機器之間的存取,傳統in-line方式的安全機制就變得十分受限。
目前雖有一些解決方案,例如將流量導出至外界交換機,再讓防火牆可對此流量做管理,或是將防火牆也變成虛擬機器或是比照實體主機也安裝在虛擬主機內。這些方式可能需要改變網路,在高流量的環境下也可能加劇了資源的使用。
其實完備的雲端虛擬化保護除了各虛擬主機之外,Hypervisor本身的保護也是加強安全縱深的防線。新的構想是在虛擬化平台裡的Hypervisor直接加上核心層的防火牆。整個Hypervisor不管出現幾個虛擬主機,彼此之間的流量都會受到檢視,不僅安全得以確保,各虛擬主機也無須安裝額外軟體,在高負荷的環境中僅佔用極少資源,甚至虛擬防火牆可以跟實體防火牆連動,分享共同的參數來達到虛擬及實體的政策一致性,Hypervisor Based Firewall的後續發展,值得關注。
另外,雲端應用中,http使用已成為重要溝通橋樑,許多應用程式不再是每個終端安裝應用而是以Web方式與用戶互動,因此針對所有使用者阻擋Facebook遊戲,針對行銷部門需開放Facebook存取這種針對應用程式的AppSecure因應而生,為解決企業內部網頁應用系統與一般網頁瀏覽的搶頻寬情形,亦出現了針對應用程式的AppQos。
現今http與DNS伺服器的攻擊與日俱增,傳統SYN flooding DoS攻擊亦轉型至針對應用的高速點擊(Hit Rate)新型態攻擊時,AppDoS防禦亦逐漸被重視。雲端時代對於資安設備已從單獨運作,轉向至是否可與其他設備聯合防禦達到更高效益來進行一加一大於二的思考,還有單一使用者端軟體達到雲端行動設備資安控管、安全接入及使用者控管等多重功能,只要是可降低管理人員負擔及達到更高效益的功能,都是雲端業者及用戶關心的事項。