信息化觀察網

現(xiàn)如今，云安全已經成為影響云計算產業(yè)進一步發(fā)展的最重要因素。眾所周知，企業(yè)采用云計算雖能給企業(yè)發(fā)展帶來很多優(yōu)勢，但云計算自誕生之際就一直存在著安全問題，這正是很多企業(yè)沒有采用云計算的原因，擔憂數(shù)據(jù)存儲在云端將發(fā)生泄露。

從2006年Google提出云計算開始至今已過去十余年，前幾年業(yè)界還在討論云計算浪潮何時到來，時至今日云計算已經滲透到了各個行業(yè)。報告顯示，未來五年向云上轉移將會直接或間接影響超過1萬億美元的IT開支。

我國云計算雖然起步較美國晚，但發(fā)展勢頭非常迅猛。據(jù)第三方統(tǒng)計，我國在云計算市場整體增速上要高于全球平均水平?！秶鴦赵宏P于促進云計算創(chuàng)新發(fā)展培育信息產業(yè)新業(yè)態(tài)的意見》、《關于加強黨政部門云計算服務網絡安全管理的意見》、《云計算發(fā)展三年行動計劃（2017-2019年）》等政策和指導意見密集出臺，可以看到我國云計算政策的主線依然是鼓勵和加快發(fā)展，我國云計算產業(yè)發(fā)展、行業(yè)推廣、應用基礎等重要環(huán)節(jié)的宏觀政策環(huán)境已經基本形成。

云計算的安全困擾

在業(yè)務上云的過程中，用戶除了廣泛關注云計算的穩(wěn)定性、高性能等問題，云的安全越來越受到用戶的重視。Forrest報告提到，71%的受訪者計劃在一年之內上云，而51%的受訪者認為如果上云，首要考慮就是云上的安全。云安全已經成為影響云計算產業(yè)進一步發(fā)展的最重要因素。

云安全和傳統(tǒng)的安全其實并沒有本質完全的不同，云計算平臺建設在數(shù)據(jù)中心，傳統(tǒng)數(shù)據(jù)中心安全依然是云安全的重要組成部分。傳統(tǒng)安全在云計算時代面臨的最大挑戰(zhàn)是要適配云計算環(huán)境動態(tài)化、軟件化、虛擬化的特點。

1、云計算帶來的邊界變化：云計算技術讓傳統(tǒng)邊界發(fā)生了變化，SDN、VPC、彈性擴展、動態(tài)遷移等技術打破了傳統(tǒng)的網絡架構，而過去安全基于傳統(tǒng)網絡和劃分安全域，在出口上堆疊上防火墻等防御設備的時代已經不存在了。公有云、混合云的出現(xiàn)，則徹底將企業(yè)的安全邊界擴展至了企業(yè)內網之外。而應對這種新的變化，首先要做的事情，就是重新構建彈性安全，重建云上的安全邊界。

2、云計算帶來的資產集中：云讓數(shù)據(jù)資產更集中，形成了一個個數(shù)據(jù)金礦，更容易吸引黑客的攻擊。

3、云計算帶來的管理上的變化：云計算將過去分散的孤立的IT系統(tǒng)進行了集中，勢必帶來運維和管理的集中。從而將原來的角色和責任分工也沖擊改變。

4、云計算帶來的復雜度：復雜IT融合環(huán)境、SDN技術帶來的控制和數(shù)據(jù)平面分開、彈性調度與動態(tài)遷移等，都給安全的配置與管理帶來更大的復雜度；面對云環(huán)境中常態(tài)化的變化問題，靜態(tài)的部署和策略配置基本無效。安全也要能夠隨著云的變化而動態(tài)調整，主要體現(xiàn)在：安全設備從硬件向軟件化、虛擬化轉變、跟隨云資源變化，支持按需分配、彈性擴容與自動回收資源這兩點。

云的引入，對現(xiàn)行的IT技術和IT管理都產生了深刻影響。所以在云安全的設計中，也要多方面考慮，做到技術與管理并重，建設與運營并舉。

云安全管理考量

云安全從管理上考慮，首重合規(guī)。

這個合規(guī)，既有《網絡安全法》等法律法規(guī)，又有一些行業(yè)指導要求，還要從云平臺自身、云租戶和監(jiān)管要求三方面考慮。國內外機構近年來陸續(xù)發(fā)布多個云安全的相關標準，例如云安全聯(lián)盟（CSA）的《如何保護云數(shù)據(jù)》，美國國家標準技術研究所（NIST）發(fā)布的《云計算安全障礙與緩和措施》、《公共云計算中安全域隱私》，CSA大中華區(qū)發(fā)布的《云計算安全技術要求》，以及國內等保標準里的《信息系統(tǒng)安全等級保護云計算安全擴展要求》等。如何建設云計算系統(tǒng)的安全措施，保證符合法律和合規(guī)的要求，是用戶上云面臨的重要的問題。

云安全管理第二要素是明晰云環(huán)境下的角色定義和安全責任分工界面。

各個角色安全分工，會影響到安全制度的修訂，甚至管理組織架構的完善。以電子政務云為例，可以分為云建設、云監(jiān)管、云使用、云承建、云安全服務五個角色。哪個角色是監(jiān)管責任，哪個角色是使用責任，哪個角色應該負責安全等，都要明確指出其安全責任，并落實到日常工作中。關于云安全服務方，目前在云的建設中存在兩種觀點：一種是云建設方是總集，負責協(xié)調云安全服務方；一種是云建設和云安全分開，兩個角色相互獨立。目前后一個觀點越來越被接受。因為云安全服務方作為一個特殊角色，獨立于云建設方，雙方的相互監(jiān)督，相互制衡，會避免很多安全問題被“捂蓋子”，這個對業(yè)主單位來說是非常好的。

云安全管理第三個要素是常態(tài)化運營。

在云平臺的生命周期中，大規(guī)模建設和擴容通常時間較短，更多的是長期運營。運營如何能做到統(tǒng)一的、完整的、及時，要從多方面考慮。比如，安全運維包括資產管理、網絡安全管理、系統(tǒng)安全管理等，但云上的資產管理是比傳統(tǒng)資產管理要有難度的，因為云上的彈性擴展與動態(tài)遷移會帶來資產頻繁的動態(tài)變化。常態(tài)化安全運營需要通過安全管理中心覆蓋安全運維、威脅發(fā)現(xiàn)、持續(xù)監(jiān)測問題溯源及聯(lián)動控制幾方面，而這其中，人是運營的核心。

云安全技術考慮

自適應安全是Gartner定義的下一代安全體系，連續(xù)兩年位列十大信息安全技術之一。在云環(huán)境下，由于系統(tǒng)的復雜性和云上應用的多樣性，僅依靠防御的建設遠遠不夠。特別是在“四個安全假設”【假設系統(tǒng)一定有未被發(fā)現(xiàn)的漏洞；假設一定有已發(fā)現(xiàn)但未修補的漏洞；假設系統(tǒng)已經被滲透；假設內部人員不可靠】前提下，云上的漏洞和一定被攻破的可能性，遠比普通環(huán)境高。所以Gartner建議企業(yè)不要用分散的安全技術來應對多樣化的安全需求，需要體系化的建設網絡、終端、應用的全方位感知能力，在檢測、響應、預測方面持續(xù)投入，并降低防御投入。

云把網絡、存儲、計算、數(shù)據(jù)、應用、管理、安全等等都集成在一起，構成了一個復雜又高度集成的IT系統(tǒng)。云的兩個核心技術：虛擬化與調度管理。而云安全的研究也需要針對兩方面分別考慮。虛擬化的安全研究目前比較多，比如針對虛擬機逃逸等方面的研究。如同SDN技術將控制與轉發(fā)分開一樣，針對云的控制層面的安全需求，則應有一個控制器(Controller)，它實現(xiàn)對各安全NFV組件的統(tǒng)一管控與調度，把各種安全能力綜合協(xié)同，通過兩個控制平臺層面的交互，實現(xiàn)資產以及防護策略的一致性，并通過網絡將資源層打通，實現(xiàn)流量的靈活調度，完成整個云環(huán)境的安全防護，以支撐云安全上的常態(tài)化、智能化的安全運營與管理。

總結預測

云計算技術與服務模式依然在高速發(fā)展和演進中，未來我們預測混合云的形態(tài)會更加普遍，如何支撐混合云這種復雜場景下的安全，將是云安全的未來重點之一。隨著越來越多的資產遷移到云上，云的規(guī)模與云上的數(shù)據(jù)安全也會越來越重要。隨著云被更廣泛的使用，未來爆發(fā)大規(guī)模云安全事件的風險也越來越大。隨著云的常態(tài)化發(fā)展與使用，未來云安全將呈現(xiàn)一輪爆發(fā)式增長，在整個安全行業(yè)所占的比重也將增大。

在不久的將來，多智時代一定會徹底走入我們的生活，有興趣入行未來前沿產業(yè)的朋友，可以收藏多智時代，及時獲取人工智能、大數(shù)據(jù)、云計算和物聯(lián)網的前沿資訊和基礎知識，讓我們一起攜手，引領人工智能的未來！

（原標題：云計算安全問題的困擾及技術考量）