我看“云安全”

作者 | 2010-01-22 17:11 | 类型 网络安全, 行业动感 | 10条用户评论 »

Sina WeiboBaiduLinkedInQQGoogle+RedditEvernote分享




云计算概念出现多年了,估计文章图书汗牛充栋,笔者并未研究过,但笔者觉得顾名思义,易于理解,google在发明这个词的时候也不是臆想的。在VISIO中有时候笔者也会画上一朵两朵云,做出的图片看上去好看一些。(也就理解到这个地步了)。但对于云安全笔者确实感兴趣,想要了解一番。

原本认为云安全是云内部的安全,但随手google一下发现,并非如我所料(至少在国内),云安全似乎成为了AV厂商的专用名词,是杀软的一种形式。且已经发展到令人叹为观止的地步了。国内外诸多厂商无一例外,都已经在若干年前声称支持了所谓的“云查杀”。有的厂商甚至支持“裸奔”查杀,host上面没有病毒库,全部到云查杀。其形式是以白名单方式为主,少量未知文件传送到云查杀,否则无法实用,即便如此也让诸多做盒子的人为之汗颜,这将是多么大的带宽以及计算量啊。

研究一番之后,笔者发现各厂商的云安全方案的全集是两朵云:

1.探测云

这朵云飘客户端,主要是利用部署在客户端的软件收集新出现的病毒样本。

笔者认为云探测的背后是有技术需求推动的,或许也是不得已而为之,新型病毒产生的速度之快据说已经达到5000/day,这已经到了人类公司无法document甚至命名的地步,靠放个honeypot来捕获,远远不够了,云探测不得已为之。

笔者认为有如下一些技术challenge:自动化病毒识别,自动化特征形成。

隐私方面,本人有疑问,客户对于这种在本机采样的方式是否知情,各厂商做的如何,笔者没有试验过。至少应该向微软学习,在搞信息收集前询问一下“您是否愿意参加体验活动啊?”。

2.查杀云

这朵云在由AV厂商维护,查杀操作是将host端文件发送到云端进行。

云查杀笔者认为该技术也是有技术需求推动,病毒数量已经是千万级了,也快到host计算机handle不了了的程度。且病毒数量同文件数量(非重复)的文件样本比例应该达到近似量级,通过白名单过滤后的云查杀,可能更加节省计算量。

同样笔者认为有如下的技术challenge:计算量以及带宽的限制。在成熟Cloud Provider出现之前,自己搞基建覆雨翻云,为成百上千万乃至上亿用户提供这样的服务,成本不菲。加之现有国内的1m的用户带宽也不足以支持用户将文件上传查杀。另外裸奔杀毒软件也有问题,如果离开网络,PC就无法杀毒了。当然随着internet普及,这些逐渐不成为问题了。

同样在隐私方面,云查杀必然导致用户文件离开host到云端,如何保障信息不泄露,是另一个问题了。

虽然笔者有上述种种问题,但笔者承认,瑕不掩瑜。未来的趋势是光纤入户,成熟的云provider也会在国内涌现出来。之后上述这种AV商业模式是可行的,也可能是历史必然的趋势。希望笔者钟爱的小红伞届时也飘到云中。

(1个打分, 平均:1.00 / 5)

工具箱
本文链接 | | 打印此页 | 10条用户评论 »

雁过留声

“我看“云安全””有10个回复

  1. 理客 于 2010-01-23 2:52 上午

    技术的主要前景在于能否有效降低TCO,从这个方面理解,会有一些选择。云还是要解决冯诺依曼体系的基本问题:存贮和计算,计算云和存贮云,本质是通过充分共享来降低成本,这是许多领域降成本的一个重要方法,尤其是IT,从大的系统到小的程序设计。计算云相对简单,但如何处理存贮云,可能还得是集中存贮为主。首先,程序的存贮,主要在中心,数据的存贮,由终端自己决定存贮的范围,为了保证任何时候任何地方都可以访问,那么还是主要在中心,而不是其他终端。所以云的目标是,计算所有人共享,存贮,只有小部分关键数据和程序存贮在本地,其他不在本地,至于如何更好的划分以及交互:方便、安全、可靠,这是一个大研究方向。至于安全问题,那么存贮在本地的还是本地处理,远端的远端处理。集中式存贮是很可能的趋势,能大量减少全球的冗余数据,并且可靠性利大于弊,省下来的钱做什么?用于提高网络的带宽和覆盖率。当然,如果用户足够信任云安全,那么也可以全部交给云来做,这也是可能的,比如你把钱存银行,因为你信任它,如果云供应商将来的运作模式就是银行模式,不成的话,你再买点保险,你还不放心把自己的计算和数据交给云服务商吗?Google的目标不一定只是这个服务商,更是整个服务需要的infrastructure,这是可以控制世界的钥匙,打击美国最好的办法是什么?是我们要在高技术领域攻城略地,减少民工的生产,让美国人民自己生产生活用品,而难以投入更多的精力去搞高技术,这个时候,美国想不完都不行,看起来很搞笑,但如何暗中巧妙的完成这个转换,是中国精英要好好考虑的事

  2. le 于 2010-01-23 5:48 上午

    杀软公司总是伴随着病毒成长而成长的.毕竟大家都是为’樂’钱

    按照首席介绍的,我认为杀软的重心还是放在防止盗版上了(如果查杀全由服务器来做应该可以很好防止杀软技术被反向)!当然在裸奔的机器中还开个门 那真是不厚道呀!

  3. 阿来 于 2010-01-23 6:35 上午

    对云一直都很晕,不过随着弱终端的增多,这确实是一个难得的机遇。

  4. 网路游侠 于 2010-01-23 9:07 上午

    没有测试过,目前的云查杀技术,如果我在客户端上传到“云服务器”文件样本,则这个过程是否加密?如果不加密,万一很多初级用户就知道点“是”,敏感文档在上传过程中被人抓包截获怎么办?这是个问题。

  5. appleleaf 于 2010-01-23 9:27 下午

    “如果查杀全由服务器来做应该可以很好防止杀软技术被反向”,不错的idea,不过人员是不停的在流动的,基本上在实现技术上安全公司想要做到完全保密是很困难的。

    理客这么长的留言不发文可惜了,另外不知道国内是否有专业的云提供商,大型ASP等似乎可以顺水推舟的向这个领域发展。虽然是infrastructure,但这个东东是高耗能的,发达国家把它外包一部分到中国似乎也是可能的。

  6. 理客 于 2010-01-23 11:17 下午

    我给兄弟捧场就满足了:)整个周末,从白天到晚上,都在加班,LP都准备带孩子回老家了,我要是没有家务,能多为人民做很多服务

  7. zeroflag 于 2010-01-24 4:36 上午

    云安全无非就是杀软厂商玩的噱头而已,本质上还是用户端发现可疑文件就上报,上面再升级特征码发下来。至于说在云端的查杀,恐怕以现在杀软公司的实力来说还做不起。比如瑞星就号称自己有6000万用户,为6000万用户提供可靠的查杀服务,那需要多大的CDN呀。

    至于说云计算本身的安全性,最大的问题在于业务的感知,和对业务变化的适应性方面。目前还看不到什么靠谱的技术和方案,眼下最靠谱的就是在云计算的数据中心网络出口位置上部署上高性能(10~40G)的防火墙和IPS,可惜目前的安全产品还做不到。

  8. 大荣 于 2010-01-24 7:35 下午

    我觉得云安全,在去年就是炒作为主,实事儿为辅,为此还得罪了趋势科技的个美眉。
    云计算真的能够给主机安全领域带来什么真正的变革呢?
    说主机的查杀性能不够,我觉得其实PC行业都没人关心真的性能不够用,降低一下压力,而是在想让压力再大些吧,我们号提供更好的cpu、内存、硬盘。
    而文中说的第一种情况,我觉得很有必要。在软件行业如此普及,特别是互联网行业如火如荼的发展下,软件不再是一个很高端的行业了,很多人都可以去DIY,从而带来的漏洞数量是一个雪崩速度的增长。

  9. yunhaid 于 2010-01-24 10:00 下午

    1.家庭网络接入带宽
    2.服务器网络带宽
    3.服务器负载能力
    4.服务器运算能力
    5.服务器海量存储能力

    云端的压力不是一般企业能承受的,也就Google敢吹这个概念。

    其实感觉云跟“超级计算机“一样。

  10. billy 于 2010-01-24 11:39 下午

    1 探测云

    笔者认为有如下一些技术challenge:自动化病毒识别,自动化特征形成。

    A:这不是一个一蹴而就来解决的问题,而是一个类似于模式识别或自适应训练的专家系统模式;换而言之,反病毒厂商的工程师利用对现有样本库分析的经验总结出的一部分自动化识别与特征形成机制成为一个起点,然后将其放于云的整个流程中,一方面应用于现有样本库,另一方面针对上传的未知样本进行应用。不断的去调整其检测精度、深度与广度,从而训练成为一个能够较为有效(出错少、易维护、效率高)的云查杀模式库。

    所以其挑战在于如何对精度、深度与广度有灵活的配置能力。

    2 游侠

    目前任何一家安软厂商均加密上传样本,除非指定用户手动上报,也一般建议其压缩加密之后上传;只要是厂商提供的上传工具均会有加密和校验机制。
    至于隐私方面,在神奇的土地上你不需要考虑隐私….