信息化觀察網(wǎng)

云安全到底是什么？云安全與傳統(tǒng)安全有什么區(qū)別？

一、云計算的基本概念

談到云安全的概念就不得不聊一下云計算了。

簡而言之，云計算就是一種新興的計算資源利用方式，云計算的服務(wù)商通過對硬件資源的虛擬化，將基礎(chǔ)IT資源變成了可以自由調(diào)度的資源池，從而實現(xiàn)IT資源的按需分配，向客戶提供按使用付費的云計算服務(wù)。

用戶可以根據(jù)業(yè)務(wù)的需求動態(tài)調(diào)整所需的資源，而云服務(wù)商也可以提高自己的資源使用效率，降低服務(wù)成本，通過多種不同類型的服務(wù)方式為用戶提供計算、存儲和數(shù)據(jù)業(yè)務(wù)的支持。

二、云計算環(huán)境下的安全需求和挑戰(zhàn)

有信息傳輸?shù)牡胤骄痛嬖诎踩珕栴}，云安全就是云計算環(huán)境下面臨的安全問題。

一方面，傳統(tǒng)環(huán)境下的安全問題在云環(huán)境下仍然存在，比如SQL注入、內(nèi)部越權(quán)、數(shù)據(jù)泄露、數(shù)據(jù)篡改、網(wǎng)頁篡改、漏洞攻擊等。

另一方面，云環(huán)境下又不斷涌現(xiàn)一堆新的安全問題，以下將會從管理使用和業(yè)務(wù)安全防護兩個維度為大家分析云計算環(huán)境下的安全挑戰(zhàn)。

安全管理使用維度面臨的需求和挑戰(zhàn)：

1）云上安全部署困難

云計算打破了傳統(tǒng)IT環(huán)境的網(wǎng)絡(luò)邊界，用戶的業(yè)務(wù)部署在云上，傳統(tǒng)的硬件盒子已經(jīng)無法部署到用戶的虛擬網(wǎng)絡(luò)中，滿足不了用戶的云上安全需求。

2）安全按需自服務(wù)

云上每個用戶的業(yè)務(wù)千差萬別，安全需求自然也各不相同，傳統(tǒng)環(huán)境下預(yù)先規(guī)劃好安全設(shè)備對特定業(yè)務(wù)系統(tǒng)做防護的模式已經(jīng)不適用于云計算環(huán)境，而按需自助申請安全資源，實現(xiàn)安全服務(wù)的即開即用的模式成為云上用戶的云安全基本訴求。

3）安全按需計量計費

云環(huán)境下，用戶使用IT資源像使用水一樣即開即用，按需付費，而傳統(tǒng)環(huán)境下，安全設(shè)備型號性能和使用期限都是固定的，顯然不滿足云上用戶對安全資源的需求，安全資源也需要滿足按需計量計費的原則。

4）安全資源彈性伸縮

用戶云上的業(yè)務(wù)規(guī)模會隨著業(yè)務(wù)的發(fā)展彈性伸縮，因此安全資源也需要隨著的業(yè)務(wù)的伸縮和伸縮，即云上安全需要具備安全資源池彈性伸縮的特點。

5）統(tǒng)一運維管理

云上用戶采用的安全服務(wù)可能有很多種，如果每一種安全服務(wù)都單獨運維管理會給用戶日常的安全運營工作帶來極大的挑戰(zhàn)，因此安全統(tǒng)一運維管理是云安全解決方案需要解決的一大痛點。

業(yè)務(wù)安全防護面臨的需求和挑戰(zhàn)：

1）虛擬機逃逸

云計算實現(xiàn)了主機資源的共享，理想情況下運行一個虛擬機中的程序是無法影響其他虛擬機的，然而某些情況下，在虛擬機運行的程序會繞過底層從而控制宿主機，一旦宿主機被控制，其他用戶的業(yè)務(wù)就會面臨巨大的安全威脅。

2）東西向安全防護

云上用戶的業(yè)務(wù)可能會部署在多虛擬機中，一旦某一個虛擬機被控制或感染病毒，對整個業(yè)務(wù)系統(tǒng)的影響也是災(zāi)難性的，因此東西向防護成為云安全的主要需求之一。

3）數(shù)據(jù)泄漏

云計算依托的基礎(chǔ)就是海量數(shù)據(jù)，而海量數(shù)據(jù)若發(fā)生泄露，造成的損失也將遠大于傳統(tǒng)環(huán)境，云環(huán)境下多用戶的數(shù)據(jù)共享云上存儲，如若一個用戶的應(yīng)用存在漏洞可能就會導(dǎo)致其他客戶數(shù)據(jù)的泄露，而惡意黑客會使用病毒、木馬或者直接攻擊方法永久刪除云端數(shù)據(jù)來危害云系統(tǒng)安全。

4）云平臺安全審計

用戶的業(yè)務(wù)依托在云上，數(shù)據(jù)也存儲在云上，針對云平臺本身的合規(guī)性和安全審計也是云上用戶面臨的重大困擾。

三、市場上常見的幾種云安全解決方案

目前市場上在公有云和私有云場景下出現(xiàn)的解決方案有一定的差異，下面將會從公有云和私有云兩個維度為大家解析：

公有云

公有云場景下，主線的比較常見的接種解決方案有：

1）安全廠商提供單一的安全軟件

由于硬件已經(jīng)無法部署到云上，安全廠商通常實現(xiàn)了安全產(chǎn)品的軟件部署，將安全產(chǎn)品軟件部署在用戶提供的虛擬機上，為用戶提供安全防護能力。

這種方式有幾個弊端：

（1）部署復(fù)雜：首先得用戶提供虛擬機，然后安全廠商手動將安全軟件部署到用戶的虛擬機上；

（2）安全組件管理復(fù)雜，需要逐一登陸到不同的安全組件做安全管理；

（3）用戶購買流程復(fù)雜，無法做到安全性能的彈性擴展。

2）安全廠商提供安全SAAS服務(wù)

安全廠商提供SAAS化的云安全服務(wù)，常見的如掃描服務(wù)、WEB應(yīng)用防護服務(wù)，可以為用戶的云上業(yè)務(wù)系統(tǒng)提供安全能力。

3）安全廠商的安全產(chǎn)品入駐云平臺的云市場

每個公有云都有安全市場，安全廠商可以將安全產(chǎn)品入駐云平臺的安全市場，用戶可以通過市場自助選購。

4）云服務(wù)商自己提供安全服務(wù)能力

隨著云平臺的發(fā)展，目前大部分的云廠商慢慢都具備自己的安全能力，用戶可直接通過云管理平臺申請開通云服務(wù)商的安全服務(wù)。

這種方式也有一個很大的弊端：缺乏第三方的安全審計。

私有云

私有云場景下，前面公有云場景下提到的：安全廠商提供單一安全軟件部署在虛擬機上，安全廠商提供安全SAAS服務(wù)、云服務(wù)商自己提供自己研發(fā)的安全服務(wù)等方式也都會存在，不同點主要有以下兩種：

1）云市場：

私有云場景下往往不會有云市場模式將不再存在。

2）安全資源池：

為了滿足云場景下的安全需求，市場上目前比較常見的一種方式是安全資源池的方式，幫助用戶構(gòu)建一個統(tǒng)一管理、彈性擴容、按需分配、安全能力完善的云安全資源池，為用戶提供一站式的云安全綜合解決方案。

四、云安全的趨勢

1）多云安全和混合云安全成為用戶的安全痛點：

市場上云服務(wù)廠商眾多，用戶往往將業(yè)務(wù)部署在多個平臺上，多云和混合云的場景在國內(nèi)市場上將會長期存在，因此多云安全和混合云安全將成為云安全解決方案需要解決的安全痛點。

2）安全服務(wù)SAAS化：

通過VM的方式為每個用戶提供獨立的安全產(chǎn)品這種方式會造成巨大的資源浪費和，同時大大增加了安全運維成本，安全服務(wù)SAAS化可以很好的解決以上問題。

3）第三方安全審計視角成為安全：

用戶的業(yè)務(wù)和數(shù)據(jù)都依托在云服務(wù)商的云平臺上，第三方的安全審計視角必不可少。