多维发力：McAfee确保基于云的通信安全

Quinton Jones

多维发力：McAfee确保基于云的通信安全

Quinton Jones

云计算应用迅速发展，企业在享受云服务带来的优势的同时，也必须进行有效风险管理。

随着企业网络和政府网络的日益“外围化”，针对关键的业务服务实施云技术已是大势所趋。现在，几乎全部的流量是通过端口 80 来传输的。我们的服务外围正延伸到每一种可能的虚拟设备和小型设备。这种迁移趋势正在改变着我们的安全模式。

简单来讲，“云”是指通过远程站点提供的服务以及运行这些服务的基础设施。无论是公共云、私有云、混合云还是社区云，我们与之交互的设备（终端、服务器、存储设备、路由器、安全系统）的物理位置都发生了改变。如果我们的安全环境需要与不属于我们的设备进行交互，风险管理难题将无从破解。

IT“云”化改变传统安全模式

云计算的标志性特征（多用户、自行管理及随时随地的按需访问，可广泛地支持任何启用 Web 的标准设备）使IT安全专业人员几乎难以履行职责。当业务部门使用企业信用卡在五分钟内完成云存储应用注册时，他们甚至可能还未了解到公司所使用的云服务提供商的完整名单。

云服务的整合模式有助于拓展我们的现有保护技术：电子邮件可以包含HTML元素和URL链接，类似Gmail和Yahoo这类网站也是邮件门户。任何数据丢失报告功能必须包含这两个有用的媒介。如果准予未经授权的用户通过不当使用的合法访问控制访问敏感数据，则对所有这些方面的保护都将失效。保护必须是全面的，并且能够充分发挥如今使用的各项技术的优势。

风险管理专业人员在研究管理云通信风险时需要考虑哪些因素呢？这些因素包括以下四方面。

一是合规性。合规工作很复杂，其成本也相当高，这有多方面的原因。有关云计算管理的法律在不断发展；数据可以快速轻松地跨越政治边界流动；如果Web服务用户不能以物理方式访问保存数据的系统，则电子发现（eDiscovery）会受阻。当相关法规要求提供电子邮件或其他数据时，如果涉及云服务，IT管理员可能无法生成数据。出现这种问题的原因在于云服务提供商合同并不总是规定了数据可移植性，使用云产品也并不总是能够轻松提取数据。

政府机构相互共享的数据量不确定，提供云服务的企业与政府合作满足数据请求的量也不确定。从小型、中型到全球性企业，都已支持Internet。所有这些动态问题和挑战使了解和实施云服务合规战略变得困难重重，而且几乎可以肯定您每年不得不审查和更新条款与条件。

二是身份信息和访问管理。在将关键数据移至云环境之前，您需要确保控制框架在云中不会失效。在您的企业网络中使用的身份验证服务可能未使用Internet 路由协议，而其他身份验证因素可能与云有关。您的团队可能缺乏必要的技能来有效、安全地使用安全声明标记语言 (SAML) 以及如今许多云资源中既有的其他措施。您可能需要支持Open ID（超越您的物理外围整合您的身份信息）以及从集中位置管理第三方的凭据代理，同时依靠服务提供商来正确管理基于角色的资源访问。当员工离职时，可以通过既定的人力资源流程，轻松撤消其网络访问权限。然而，访问常常会延伸到包含公司敏感数据的外部网站，如Salesforce.com。您需要具备法律和技术方面的能力来评估和不断审核这些问题。

三是可用性。如果您不能控制运行时间和可用性，则很难避免、检测和管理故障。然而，利用云服务可提高您的服务弹性。您将需要设计合同机制，以进一步提升SLA和资源的有效性。

四是事件响应。如果您无法预启动和中断可能受到损害的服务器的网络连接，您将会失去用于管理事件爆发、破坏和数据渗出事件方面的一些功能选项。云服务提供商必须在缓解风险和加快事件响应方面起重要作用。

上述问题对管理云计算引发的风险以及充分利用其所带来的机遇和潜在优势至关重要。

从解决方案角度看，在不扩大风险面的情况下充分利用云的管理价值需要出色的协调和全面整合人员、流程和技术。基于云的通信包括复杂的端口和协议，但通常传入/传出企业的流量中至少有85% 的流量是Web流量和电子邮件。因此需要从这两方面着手。

应用云计算始于您了解自己的数据，并确保您现有的 IT 安全控制结构能够顺利地延伸到云模式。在您确定数据后，周密地规划云使用，并定义可接受的使用模式。以明确的方式将正确的用户与授权的数据联系起来至关重要。您需要精心规划、平衡安全与风险，并经常进行跟踪审核和审查。技术的发展日新月异，企业的需求也是如此。这些措施有助您全面应用云计算技术。

架起通向云端的“安全之桥”

对任何安全体系，一环薄弱，全局必败；因此需要采用全面的解决方案。管理云风险的最佳方式是在您第一次连接云时，评估网络网关的风险状况。设计逻辑控制和机制，扩展您现有的流程以超越物理网关界限。通过全面考虑引发风险的问题，您能够前瞻性确定与业务有关的问题，明确相关解决方法，并从云服务提供商和业务部门合作伙伴处获得所需的实施支持。

大多数网络通过电子邮件、Web和身份服务与云交互。妥善保护这些交互“路径”是个很好的出发点。安全团队的首要任务是防止内容泄露、防范服务中断风险、最大限度减少风险面（因为身份服务的范围已超越物理网络边界），以及持续防范恶意软件和通过Web传播的威胁。

安全地代理身份和管理授权是企业的当务之急。虽然我们大数人还记得90年代初发生的PKI故障，但大家普遍认为现在是对外部服务建立一层身份验证和权限管理的时候了。

专业安全公司迈克菲（McAfee）可以帮助您建立框架来安全地向第三方传送身份信息并管理用户帐户的正确配置。McAfee Cloud Identity Manager可集中代理身份标识和保护身份验证事务。对外部网站的身份验证已标记化并被可靠代理，防止通过合法授权但非法访问造成的身份信息泄露和数据丢失。用户可以轻松登录外部网站，解决方案将凭据管理功能添加到安全团队的“工具箱”。如果因为服务提供商发生问题需要更新整个企业凭据集，则根本无需用户交互，就可为使用过的每个 Web 服务设置新的服务密码。McAfee Identity Manager可以处理这些请求。

迈克菲在每个服务层提供增强的分层保护，有助于您确保得到足够和适当的保护。我们的 Web 和电子邮件保护包括您需要的所有部署选项：本地、虚拟、云或任意混合组合。这种灵活性使您能够根据自己的需求轻松、快捷地迁移到云环境，或者构建系统组合以提供理想的控制、灵活性和成本节省组合。

图1 McAfee系列云安全方案为用户IT系统保驾护航

要考虑的第一层是“网关”处的内容安全，这可能是您站点中的设备，或是云中基于SaaS的服务，亦或这两处的层。迈克菲可帮助您确保网关安全，为跨这两个渠道的Web流量、电子邮件服务和内容检查（数据丢失防护）提供网络级的保护。

迈克菲利用许多迈克菲产品提供的基于云的信息，双向共享最新的热点威胁和保护信息，这些信息是McAfee Global Threat Intelligence (GTI) 结构的一部分。如果用户点能够引用云中最新信息并与其他用户点比较威胁详细信息，威胁防护会更加完善。虽然GTI不是一款产品，但它是许多迈克菲产品（包括下述的Web和电子邮件保护）的坚实后盾。

这些基本的网关系统可防范传入恶意内容和垃圾邮件，并帮助您管理传出内容以满足业务使用与合规要求。借助这一完善的基准，您可以关注通信路径，分离典型用例，扩展您的安全系统以涵盖规模庞大的、支持云的业务与合规体系。

部署了内部客户端网关保护后，便可寻找机会来使用云服务以节省资金或提升安全。一个典型的用例是采用SaaS模式进行垃圾邮件过滤。由于全球85%以上的邮件是无用的垃圾邮件，因此删除云中的垃圾邮件以免占用企业Internet带宽、电能或磁盘空间具有极高的经济价值。垃圾邮件过滤也是一项理想的云服务，因为可以依据信誉、恶意软件以及专家和自动化是关键因素的方面，对垃圾邮件进行过滤。而实施也比较简单，只需重定向网关流量即可。

同样，一个典型的SaaS Web过滤用例是在发生购并事件后快速保护网络。对于刚并购的公司，可在最短时间内为其提供基于策略的基本保护。另一项常见服务是为移动用户提供保护，这些用户最易遭受恶意软件入侵并会导致这些入侵进入企业网络。

McAfee云安全系列方案

McAfee Cloud Identity Manager

该方案可帮助用户解除管理云应用多个密码的烦恼。Cloud Identity Manager（网关设备）是一个易于部署的框架，可用于为云应用连接构建和管理授权服务。它可让您强制实施针对云应用访问的企业标准，并通过减少密码重置请求来提升IT和最终用户的效率。Cloud Identity Manager 提供单点登录（SSO）、自动配置、强身份验证、授权和综合审计。我们提供即装即用的云连接器来与基于云的常用应用（例如，Salesforce.com和Google Apps）便捷集成。无需进行编码或额外购买工具包。您需要做的只是从控制台菜单选择云应用。快速实施意味着投资回报率更高，而且可以更快地实现价值。

McAfee Web Protection

HTTP是 Internet的基础协议，而且是用户与远程实体进行交互的主要机制。多数支持最终用户的云应用使用Web浏览器来支持客户交互。该方案（可按本地或VMware设备、SaaS服务或混合模式启用）可帮您提升云服务合规状况，因为它们可确保与远程站点进行的http和https会话经过了正确登录，策略得到了强制实施，同时有风险的内容得到了拦截。Web网关保护可阻止不符合要求和未经授权的数据使用（在您的现场或我们的托管设施），即便用户尝试向微博站点（如Twitter）发布信息也是如此。

McAfee Email Protection

保护您的用户远离恶意因素困扰还需要保护电子邮件，这是您的企业通向Internet的另一个开放的“门户”。电子邮件从根本上讲是一项云服务，因为它支持远程主机传输信息，基于此，它需要强大的保护。迈克菲建议采用侧重安全的电子邮件网关解决方案，这类解决方案不仅局限于垃圾邮件防护，而且能够在邮件传递至用户计算机前全面验证邮件的安全状况。无论您是寻求本地电子邮件安全还是云中电子邮件安全，McAfee Emai Protection 都能按您需要的方式提供电子邮件安全，让您的“云之路”畅通无阻。

McAfee SaaS Endpoint Protection

该方案拦截各类威胁（包括病毒、间谍软件和黑客攻击）。SaaS EndpointProtection可通过基于Web的 McAfee SecurityCenter进行轻松部署和管理，有助于自动执行终端防御并降低安全成本。

McAfee SaaS Vulnerability Management

该方案快速激活漏洞扫描和切实可行的报告操作，帮助您降低风险并针对行业（如PC）标准评估合规性。

Quinton Jones 负责领导 McAfee SaaS 产品和云服务解决方案的业务开发工作。他拥有加州大学洛杉矶分校安德森商学院的 MBA 学位，以及华盛顿大学的学士学位，同时还通过了 CISSP（国际注册信息系统安全专家）认证。Quinton在设计安全架构、安全指标、安全计划管理、客户关系和项目管理方面拥有 10年的丰富经验。