【51CTO.com 综合报道】2010年10月21日-22日的RSA 2010大会虽然已经结束,但是大会上,很多演讲都精彩绝伦。51CTO作为特邀媒体,对大会进行了相关报道。这次,我们来对趋势科技全球企业级产品研发部门总监郑弘卿的演讲内容进行一下总结。那么,下面就是他演讲的具体内容,主题是《云计算时代的安全和法规遵从挑战&云安全解决方案》(更多内容请参阅RSA 2010信息安全国际论坛专题报道)。
郑弘卿:各位朋友、各位来宾下午好。我先自我介绍一下,我是趋势科技的郑弘卿,我是负责趋势科技企业级全球产品研发。
很高兴今天有这个机会来到这里跟大家介绍一些云计算以及安全的发展,还有趋势科技可以给大家提供一些新的解决方案。我用中文演讲的机会不多,这可能是我一生第8、第9次在这么多人面前用中文演讲。我记得好几年前,我们公司在南京学校招人的时候,我第一次用中文去演讲。开始的时候我就问听众,你们希望我用中文还是英文,很多人就说请你用中文,那时候我大概讲了一半的时候,我问大家希望我用英文还是中文,那时候一半的人说请用英文。我希望今天结束的时候有机会做这个调研,希望你们对我慷慨一点,你们在填这个表格的时候请手下留情。
我刚才说我主要是负责全球级产品的研发团队,我最近一两年有比较多的时间在中国,协助我们这里的分公司开发一些新的业务。所以我希望今天跟大家分享的内容,是跟大家工作有关系的。
在座可能有很多朋友对趋势科技了解不多,我先简单介绍一下趋势科技。趋势科技1988年在美国洛杉矶创立,1998年顺利在美国纳斯达克、日本东京上市,公司最高市值曾超过130多亿美金。很荣幸我们在一两年前,我们每年的营业额都超过十亿多美元。今天趋势科技在全球各地大概有4千多位员工,包括我们在南京研发中心的500多位工程师。趋势科技创立这二十多年来,我们跟有些公司不一样,我们是专注于内容安全的领域,我们公司的愿景就是要打造一个让数字信息交换零风险的世界,这也是我们每位员工包括在全球4千多位同事每天在专注的一个事情,我们坚持为客户提供业界最强、最创新的解决方案。
我今天要跟大家分享的内容是云时代的安全和法规遵从的挑战,还有我们可以给大家提供的解决方案。
内容主要分成三部分:
第一,云计算概况;
第二,今天云计算会带来大家一些新的安全问题和管理上的一些挑战;
第三,趋势科技今天拥有的一些技术,还有我们可以提供给大家的产品和解决方案;最后我会简单总结一下。
我们常听到一个话题,就是云计算。云计算是可以分成很多不同的层面和不同的类型,云计算就是有些人说的分布式计算,有些人说是网格计算也是云计算的一种,甚至有些人说P2P也是一种云计算。云计算很重要的一个环节就是虚拟化,为什么虚拟化会让很多人感到很有兴趣?大家最近也常听到,国内常说节能减排,减少电力的使用,减少资源的滥用。从IT投入的角度看,能降低支出、降低电力的使用、降低设备的投入,这都是IT领导和管理员比较有兴趣的一个事情。
趋势科技可以接触到很多客户和企业,云计算和虚拟化可以提供的最大价值,就是在有更多业务需求的时候,让IT可以很快地得到更多的IT资源。像我们公司一天到晚在办市场活动,市场活动办得比较大的时候,我们就需要准备更多的外服务器。传统IT如果准备更多的设备,通常要通过采购,要有采购的流程,要有一个完整的计划去部署这些新购的服务器,整个流程是非常慢、非常长的,慢一点要好几个月,快一点至少要好几周。趋势科技在几年前就开始使用云计算满足商务业务上的一些需求。另外云计算带给企业一个很大的优势,就是企业不需要在前期就做大量投资,企业可以支付他们真正需要使用的一些资源。
也因为云计算带给客户的价值很多,所以全球的云计算使用在快速增长。现在大家看到的就是IDC提供的数据,根据IDC的估计,接下来这几年云计算将快速成长,平均每年大约增长26%。这个速度是远远高于传统IT每年4%的增长率。快速成长的云计算将面临哪些挑战、哪些问题,接下来我简单跟大家介绍一下。
今天很多企业不采纳云计算很重要的一个原因,就是因为他们担心云计算的安全性,现在大家看到,IDC在去年做出的一个调研,从这个调研的结果可以看出,被访问的人中,大概有超过87%的人都反馈说安全是他们对云计算最担心的问题。最近我有机会在国内拜访几个不同行业的客户,这里包含一些全球知名度蛮高的银行,还有保险公司,好几家的安全负责人就跟我说,他们其实对云计算目前是保持比较保守的态度,他们公司已经投入了一些资源,在研究云计算和虚拟化,还有做一些未来的规划。但是因为安全和运营稳健性的考量,他们目前并没有把任何重要或者关键性的应用迁移到虚拟环境上,他们还是在使用传统的环境在运行这些关键性应用。未来一部分客户可能会考虑建立他们的私有云,很多客户还是因为安全的考量,并没有计划在未来采纳公有云。我刚才提到,我拜访的这些客户很多是保险公司和银行,业务的稳定性、持续性对他们来说是非常重要的,另外一个原因可能是因为这些公司今天还非常赚钱,所以他们还没有压力去降低运营成本。但是通常这些客户的想法可能会保守一点,但是这些客户会因为担心安全而不采用云计算计算,这也是可以理解的。因为今天的IT环境处在一个非常危险的状态。#p#
我们现在看到过去一年几个国内外知名度比较高的安全事件,百度的域名被劫持,造成很多用户没办法正常去访问百度网站,这是今年发生的一件事情,我相信很多人都听过。在去年5月份,暴风影音域名的解析器也受到黑客的攻击,而导致很多省的用户无法正常上网。在国外,这一两年也传出很多不同的企业,他们的网站或者他们的设置受到攻击,导致他们的业务中断,或者是重要客户的个人信息被盗取。
最近可能有些朋友说过Stuxnet病毒,这个病毒蛮特殊的,它是世界上首个专门针对工业系统而设计的病毒破坏系统,它透过Windows的一些漏洞,还有西门子系统的一些漏洞进行攻击。西门子这套系统在全球包括在中国有很多重要的行业都在使用这套系统,这里包含一些发电厂,很多电力企业和公司都需要用这套系统,如果这个病毒能够很成功地去传播和进行破坏,我想后果应该是非常严重的。虽然今天大部分的病毒都不是针对电力发电厂,或者是核电发电厂而设计的,但是其实我们都知道,今天很多企业、很多公司的业务,都是通过互联网还有WEB进行的。所以如果这些设备、这些服务受到攻击,我想这会带给企业和消费者很多不便和很多损失。
到目前我已经跟大家介绍了几个安全事件,其实这些安全事件都是发生在比较传统的IT环境上。到目前我还没跟大家介绍任何直接跟云计算比较有关系的风险。在云计算的时代,在采用虚拟化的时候,大家还需要考虑一些新的安全问题和挑战。我们现在看到的就是大部分企业在虚拟化会经历过的过程。我们把这个过程分成三个不同的阶段。第一阶段是服务器的整合,也就是通过虚拟化的技术,在一台物理机上可以运行多个操作系统,还有多套运用。用户通常会考虑这样做的原因有很多,除了纯粹要降低运营的成本以外,有可能是要减少电力的使用,比如节能减排,也有可能要减少自己机房里的服务器数量和占有的空间。在这个阶段,我们可以听到一个概念,就是服务器整合率,整合率越高就代表这个客户可以把更多的服务器虚拟化,运行在更少数量的物理机上。第二个阶段是服务器整合率的提升,还有桌面虚拟化的开始。在这个阶段,用户就会开始利用虚拟桌面技术,对用户的桌面进行统一管理,这样就可以减少一些运用的部署和维护工作。第三个阶段是公有云采纳的开始,在这个阶段,客户开始不采购和部署自己的服务器,而是把他的一些应用部署在从外面租来的一些服务器上。
在整个虚拟化的过程中,客户需要面对哪些安全问题和风险?趋势科技归纳出12个跟云有关的安全问题。在不同的虚拟化阶段,客户将会碰到不同的安全问题。接下来我介绍几个比较容易理解的。在第一个阶段,也就是初始的服务器整合阶段,客户开始需要担心虚拟机互相攻击的问题,为什么需要担心这个问题?我们先看一下传统防护的模式,传统的安全防护通常是一种堡垒式的方法,就是在服务器的周围部署一些防火墙,或者是一些IDS、IPS设备,但是当一台物理机上运行多个虚拟机和操作系统的时候,只要其中一台虚拟机或者系统受到病毒的感染,其他运行在这台物理机上所有的系统都可能容易被攻击。为什么是这样?因为部署了IDS、IPS的架构,是无法检测在一台物理机上,在多台虚拟机间攻击的流量,你今天是一个管理员,你拿U盘更新某一台虚拟机,这台虚拟机不小心被感染病毒,所有运行在同一台物理机上其他的系统都更容易被受到攻击。通常在虚拟化的第一个阶段,也就是服务器整合阶段,客户还需要面对的一个问题是,哪些应用跟相关系统要整合在同一台物理机上。趋势科技有很多不同部门,有研发部门,有HR部门,有法务、财务等不同部门,像研发需要使用的一些应用,我们在部署的时候,这个东西只需要让研发工程师很容易去ACCESS,但是HR使用一些人力资源管理的应用,就可能牵扯到很多员工的个人信息,所以需要有比较严谨的一些防护措施,比较严谨的一些保护。所以在开始虚拟化的时候,就需要考虑到把这两种需要不同安全等级的应用隔离在不断的网段,或者不同的物理机上。这会带来安全管理上的复杂度的增加,还可以降低服务器的整合率,但是如果服务器的整合率降低,就意味着IT的支出也需要增加。
我们现在看这个问题,我认为这个问题不仅仅是在云环境下才会发生的问题,这个问题对传统的IT也会带来非常大的挑战,这个问题是IT管理员如何确保所有系统上都有部署完整的防护,拥有最新、最正确的安全策略。当用户有很多虚拟机,还有很多不同虚拟机版本的时候,要确保所有的虚拟机还有版本都有部署安全软件、部署正确的安全策略,这跟传统环境比较起来,是更大的一个挑战。
到目前我跟大家介绍的这些安全问题都是发生在第一个阶段的。到第二个阶段,IT还需要面对一些其他的安全问题。在第二个阶段,客户通常达到的目标之一就是,要在不影响甚至提升服务的持续性、稳定性的状况下,让服务器的整合率、物理机的使用率提升。为了要达到这些目标,用户就需要在不同时间把一些不需要运行的虚拟机和应用停止掉,或者是在需要支持更多业务的时候,要提供更多服务的时候,把本来休眠的物理机应用。这种运行的模式就会带来一些问题,我跟大家介绍一个常碰到的问题,我相信在座各位应该都有安装杀毒软件,我们都知道杀毒软件要定期更新病毒库,但是病毒库更新只能在运行中的电脑发生,因此如果休眠机是长期在休眠,它不可能有最新的病毒库。所以当这些休眠状态的虚拟机突然被激活的时候,它们就可能因为没有最近期的一些病毒库,而拥有比较大的一些安全风险。
在第二个阶段,很多客户为了提升整合率还有服务器的使用率,很多客户也希望把不同安全等级的系统跑在同一台服务器上。这通常会带来几个问题,客户可能为了要提供严格的防护,安全策略的一些配置,包括网络设备的安全规则的一些配置,就会变得比较复杂,这会导致虚拟机没办法在多台物理机之间的迁移,这个迁移动作比较难进行,所以迁移的灵活度就降低。某些客户如果这样做,他就又回到虚拟化的第一个阶段。另外一个可能是,客户为了方便的考量,他就把整体的安全策略配置得比较松一点,这样使用起来比较简单,当他们迁移这个虚拟机的时候,就不会碰到太大的困难。但是这样的做法会导致,应该要被严格保护的系统,还有这些应用和数据,可能比较容易受到攻击。#p#
在第二个阶段,很多客户体验到的一个问题,我想这个问题可能是我个人大概每周都会体验到一次的问题,在座的朋友有些人可能会碰到这个问题,在座很多人的工作单位都会要求你们安装杀毒软件、防毒软件,趋势科技身为安全厂商,也对员工有这样的要求,趋势科技每一周就会对每一个员工的系统进行一次全盘扫描。当全盘扫描进行的时候,我个人的感觉就是电脑的反应变得比较慢,尤其是我有很多运用在运行的时候。这个现象会发生,主要是因为防病毒软件在做全社会扫描的时候,需要比较多的内存和系统资源,这会造成整个系统性能的降低。同样地,通过虚拟机和虚拟关系,这也是一个问题,不管客户是把多台虚拟机运行在一台服务器上,或者是他们通过一台服务器去提供很多的虚拟桌面,如果所有的虚拟机或者是这些虚拟桌面都同时在进行全系统扫描,服务器的性能就会受到很大的影响。比较严重的状况,可能甚至会导致业务的中断。
在虚拟化的第三个阶段,也就是公有云采纳的开始,客户会面临什么问题?一个问题就是公有云的服务供应商对于客户数据和系统的保护,假如客户把他的数据还有虚拟机还有这个系统,放在公有云服务供应商的存储设备上,我们怎么能确保服务厂商的员工自己不会去窃取这些数据,或者破坏这些系统。为什么我们需要重视这个问题?我们来看下一页。现在你们看到的是美国亚马逊公有云服务客户使用协议,亚马逊应该是全球最大的公有云服务厂商,我们仔细看这个协议,亚马逊这个协议写得非常清楚,客户需要为自己放在亚马逊公有云上所有的应用和数据的安全负责,而亚马逊并不会提供任何的安全保障。看到这个协议,我想难怪很多客户对公有云、对云计算持保留态度。
今天企业除了要面对我介绍的这些问题和挑战,其实今天在很多国家和地区企业还被要求达到法规遵从,这个合规里比较有名的就是美国2002年通过的萨班斯法案,美国通过这个法案之后,其他地区,包括日本、欧洲都有一些合规的要求。大家也可能听说,中国政府在明年也会对中国的一些企业,包括一些上市公司,实施一些比较严格的监管,在合规方面。我们相信法规遵从的来临也将增加IT安全管理的一些工作。合规法规的要求很多,我举一个方面,在很多合规法规的要求里,拥有完整的日志和审计机制,还有变更的管理,是一个很重要、很基本的条件。在虚拟环境中,这将是一件更复杂的工作,因为虚拟机不像传统的物理机,是停留在一个地方,停留在一个环境上,因为虚拟机和系统可能在任何一个时间,从一个环境迁移到另外一个环境。
在有更多法规持续出台的情况下,在惩罚在持续增加的状况下,如何满足合规的需求,但又不对你的IT系统和管理带来太大的负担。面对这些问题,趋势科技可以提供什么解决方案。接下来我简单跟大家讲一下,虽然有非常多的法规,不同国家有不同的法规,不同行业有不同的法规,我们刚才看到接近40多个国家,对不同行业都有不同的法规。但是如果把这些法规提出来的要求整理一下,我们会发现它们之间有很多共同点。比如需要在系统上安装防病毒软件,或者需要防火墙,或者是入侵检测的一些机制,可能需要一些完整性的补丁和漏洞的管理,需要日志审计的功能,需要变更管理的功能。趋势科技提供的一个可以满足这些法规要求的解决方案就是我们的DEEP SECURITY安全解决方面,这个解决方案提供了很多功能,这个解决方案提供了包括防病毒、防火墙、入侵检测等功能,其实这些功能跟法规对IT提出来的多样需求是对应的。所以投入这些模块的功能,DEEP SECURITY可以提供给客户安全的保护。我们要讲日志审计或者防病毒这种产品,大家知道这个产品不是业界第一个,但是为什么我要介绍这个解决方案?这个解决方案有很特殊的一点,它可以通过支持物理环境跟虚拟环境的部署,你可以用它来保护传统的物理机,也可以用它保护放在虚拟环境上的虚拟机。这个解决方案我们相信是业界最强,但同时对这个性能影响最小,管理最简单的一个安全防护。很多客户会问趋势科技,这个东西听起来很好,太完美了,我们很少看到防病毒软件可以很强,然后对系统性能影响小,管理起来又简单。为什么这个产品可以做到这样?其实这个产品是基于一个比较特殊、比较创新的一个架构,我来介绍一下。
使用这个解决方案的用户,不需要在任何一台虚拟机上安装任何产品,就可以达到防御、保护、管理的效果。这跟传统大家对安全的认知是不一样的。我们是怎么做到的?是通过趋势科技和VMWare厂商共同开发了一个技术,我提到的这些安全功能模块,都是集合安装在一台虚拟机上,这台虚拟机一旦安装在一台物理机上,它就可以对同时安装在这台物理机上所有的系统、所有的虚拟机提供防护、管理。我们常使用的一些功能,像实时扫描、全系统扫描、防火墙、入侵检测,这些都可以在客户不需要安装代理的状况下实施。这种架构带给客户很多新的方便,带给客户很多新的价值。第一,如果客户是负责防病毒管理的,就不需要在每一台物理机上进行病毒库的更新,而只需要在每一台物理机上下载一套病毒库,并不需要在每一个操作系统上更新这个防病毒的病毒库,这个好处是可以大量降低安全对系统资源的占用,提升虚拟化的整合率。第二个好处是好管理,因为客户只需要更新一次,不需要担心是否每台机器、每个设备、每一个操作系统上是否都有病毒库,他也不需要担心他刚刚配置的一台虚拟机是否有安装防病毒软件,或者更新了最新的病毒库。这套解决方案也是专门为虚拟化、虚拟环境设计的,这个保护是随着虚拟机移动的,所以客户有一天决定把虚拟机从公司内部的一个环境迁移到另外一台物理机上,这台虚拟机也可以得到完善的保护。或者有一天,客户到了第三个阶段,他决定去采用公有云,就算他把这个虚拟机迁移到外面厂商提供的环境中,这台虚拟机还是可以得到完善的保护。#p#
DEEP SECURITY这个解决方案特殊的部署,也可以让很多客户有信心为虚拟机同时为物理机部署安全解决方案,而满足法规遵从提出来的多方面要求。客户不需要为了合规而担心在虚拟环境上部署很多不同的安全解决方案,或者不同厂商的产品。这个解决方案可以是一套解决方案满足多种法规遵从提出来的要求,另外一个很大的优势就是部署一次,可以保护多台虚拟机,同时对系统不会造成性能的影响。
到目前,我跟大家介绍的这些解决方案,都是以保护服务器为出发点的,就会有人问趋势科技,我的公司有很多虚拟桌面,趋势科技可以提供什么解决方案,保护我们的虚拟桌面,你们有这种解决方案吗?答案是有的,其实使用虚拟桌面的客户,他们常常会碰到一个问题,就是当他们在进行全盘扫描、全系统扫描的时候,全系统扫描会对他们的服务器造成很大的性能影响,这是很多企业、很多客户反馈给趋势科技的一点。
趋势科技最新的一些产品是提供业界第一个支持VDI-虚拟桌面的防病毒功能,我们最新的产品可以自动识别虚拟终端、智能安排全系统扫描工作,避免在系统资源不足的情况下,让服务器的性能受到影响,这是趋势科技提供的一个创新的解决方案。
你们现在看到的是我们在实验室测试出来的一些结果,新的解决方案跟传统的比较起来,对性能的影响的差距是非常大的,我们可以看到,新的解决方案可以降低扫描时间70%,在CPU和内存的占用上减少超过80%。所以从这个结果可以看到,最新支持VDI的趋势科技的解决方案,可以大幅度地减少扫描时间,并大量降低系统资源的占用。
今天在全球各地有很多客户已经受到趋势科技解决方案的保护,在美国我们有一家全球知名的金融机构,他们已经部署了这个解决方案,来落实公司内部的一些安全策略,还有满足一些法规遵从的需求。这个客户是有1000多台服务器,这里面包括一些Windows系统,还有Linux等操作系统。客户也有一些物理机,还有一些虚拟环境,这些物理机、虚拟机都已经部署了趋势科技的解决方案。
这是另外一个成功案例,Workstream是另外一家美国公司,他们是通过SaaS(软件即服务)的方式去提供一些人力资源应用。他们的客户包含全世界500强的一些企业,这些企业对员工个人信息的保护是非常重视的。Workstream也是趋势科技的一个客户,他们采用的主要原因是要保护他们的外服务器,还有一些关键性的应用,以确保服务器的稳定性和安全性。
最后我总结一下,趋势科技认为,当今的IT企业是处在一个快速变化的环境中,危险环境在快速变化,虚拟化的采纳也是持续加快,同时政府还有不同机构对企业的安全要求在持续提升。所以趋势科技认为,客户今天如果要考虑一个解决方案,这个解决方案一定要有全面性,可以防止多种安全威胁,并且是可以满足多种法规合规的需求的解决方案。我们认为云计算、虚拟化是一个避免不了的未来,任何一个企业可以有效的掌握云的使用,就可以得到一些比较突出的竞争力。所以我们认为,今天任何一个客户要考虑一个新的解决方案,这个解决方案一定要可以支持传统的物理环境,也要可以支持云计算虚拟化的环境。
【编辑推荐】
