云计算安全的共识共鸣和挑战 - 安防知识网

不言而喻，云计算仍是一个迅速变化的领域，要么保持在最前沿，要么落后。2010年10月18号，工信部和发改委共同发文将云计算和虚拟化写入“十二五” 的战略规划，确定在北京、上海、深圳、杭州和无锡五个城市先行开展云计算服务创新发展试点示范工作。

　　不言而喻，云计算仍是一个迅速变化的领域，要么保持在最前沿，要么落后。2010年10月18号，工信部和发改委共同发文将云计算和虚拟化写入“十二五” 的战略规划，确定在北京、上海、深圳、杭州和无锡五个城市先行开展云计算服务创新发展试点示范工作。远看，我们需要抓住云计算所带来的机遇，持续并快速的改变思维，优化流程、找寻方法、变革技术;近看，迁移到云计算的过程，为我们提供了新的契机，来重新审视和谋划现有的基础设施、应用等与业务的关联性。不论是远谋还是近思，云计算与任何新概念和技术一样，它会带来新的机遇，也将创造新的风险，不可预期的安全风险甚至会超过企业当前的安全需求。在你思考选择是否选择云计算的时候，安全的位置和忧虑到底是怎样的?本文将通过我们的所见所闻，与你共同探讨云计算安全的问题，以期所思所想与大家共鸣。

　　共识：云计算是安全机遇

　　不论是广义的云计算安全，还是狭义的云安全。目前普遍的共识是云计算是安全技术创新和发展的机遇，在云计算还未像今天如此火爆的时候，狭义云安全的定义就已经风生水起，成为安全厂商展现自身安全技术系统、架构领先性的舞台。借助云的概念，安全厂商自身技术和架构的可信、规模、积累、对服务模式的思考等，就成为了他们经常挂在嘴边的关键词。产业也在经历了云计算是安全的灾难，还是安全机遇彷徨之后，意见逐渐趋同。虽然安全目前依然是摆在企业跨入云计算环境的首要担忧之一，但云计算给安全所带来的机遇，已经是产业和厂商的共识。

　　共鸣：信心和耐心为云计算卸下包袱

　　不论是选择云服务，构建私有云，还是将现有基础设施迁移到云。首先需要对这一新兴技术概念抱有信心，从2010到2011年的很多报告显示，由于安全问题，众多的企业对云计算持谨慎态度，但对云对安全的态度正在发生变化。2010年Harris调查显示，超过81%的用户担心云服务的安全性问题，普遍认为云计算缺少安全性。而到了2011年，众多的调查报告显示，企业开始对云计算选择的比例呈上升势头，赛门铁克《云端现状调查》报告显示，88%的受访者有信心迈进云计算而不会影响信息安全，虽然只有很少比例(15%-18%)认为已经做好过渡到云的准备，虽然说多做少，但根据这份调查报告显示，譬如企业选择邮件安全、IM安全等安全云服务的比例要多于其他云服务，从对安全的担忧到现在的安全性预期的评估，安全造成企业对云计算呈谨慎态度的局面正在改观。

　　还有众多的云计算调查报告的数据，也显示出企业对云计算的钟情。虽然安全的担心仍然存在，但云服务的效能、可用性、评估预期、IT部门对系统的控制权是否会导致岗位流失等更多的隐忧正在浮现，安全从云计算诞生就背上的包袱和阴霾正在被驱散。

　　同时云计算不可能一蹴而就，所以企业和整个产业都要有耐心走好这个过程，从整个行业进展情况来看，可能很多企业都要花多则6-7年，少则3-5 年来过渡，而目标也不是简单的将数据中心搬到公有云或变成私有云。同样之于安全，云计算的技术架构，平台，终端计算，每个层次都不能忽视安全，每个层面都有安全，包括管理也需要安全，安全不是支离破碎，不是某一个环节把安全考虑好了就一劳永逸。所以需要从各个层面看现有架构走到安全体系的阶段，包括传统组件，基础架构，技术应用，开发等，当新的应用方式出现的时候，都是对安全的巨大挑战，如果不能很好的处理将带来不可预期的后果。

　　比如新老应用，与云与现有安全架构的兼容性问题?数据在云端和本地的风险和合规问题是完全不同的?迁移策略是怎样的，迁移过程中，安全策略如何掌控动态变化?虚拟化打破了物理的硬性绑定，流动的数据和应用，安全如何考虑?[nextpage]

　　共鸣：安全责任归属发生的改变

　　根据CSA云安全联盟发布的《云计算关键领域安全指南》对云计算安全的定义，云计算中安全控制的主要部分与其他IT环境中的安全控制并没有太大的区别，但是根据企业采用的云服务模型、运行模式以及提供云服务的技术，与传统IT解决方案相比云计算可能面临不同的风险。

　　如上文所述，企业对云计算安全的谨慎态度，已经随着云的逐步深入，转嫁到其他方面的担忧，比如云的效能，可用性等。。云计算的重要吸引力之一就在在于经济上的可扩展性、标准化提供的成本效率，为了支撑这种成本效率，云提供商提供的服务和解决方案必须足够灵活，以服务最大可能的用户数、最大化企业的市场，而安全集成到这些服务方案中将使得方案变得僵化。虽然安全只是使得云服务僵化的原因之一，但与数据和信息的所面临的风险相比，安全的集成必不可少。所以明确的可纠责性，清楚企业安全现状的成熟度，就是有效安全控制的级别等就显得格外重要了。

　　CSA联盟给出的安全责任根据云服务模式划分为：在SaaS环境中，安全控制及其范围在服务合同中进行协商，服务等级、隐私和符合性等也都在合同中指出。在IaaS中，低层基础设施和抽象层的安全保护属于提供商职责，其它职责则属于客户。PaaS则居于两者之间，提供商为平台自身提供安全保护，平台上应用的安全性及如何安全地开发这些应用则为客户的职责。

　　共鸣：私有云与公有云谁更安全

　　首先要清楚公有云和私有云的定义，公有云由云服务供应商提供，其云基础设施、平台或应用为公众或企业提供服务。私有云的基础设施、平台和应用只为企业运行和服务，由企业自身负责管理。当然企业也可以在自建私有云的同时，一些业务也可以选择公有云服务提供支撑，这就是混合云的概念了。

　　简而言之，私有云是在企业内部署的，有明确的边界，我们是否就可以认为私有云就更加安全呢?正如CSA对云计算安全定义的那样，其实云计算安全控制的主要部分与传统IT环境的安全控制没有什么区别。更写实的理解，公有云供应商来维护其云环境的安全，只是其为公众提供云服务，私有云是企业维护自身云的安全，为自己提供云服务而已。他们共同面对的安全问题都来自云计算的特性，即虚拟化所提供的动态性，意味着即便是私有云，如果云环境的一个虚拟机存在安全威胁，那么虚拟机间的通信就会存在安全威胁，那么企业传统安全架构和防护措施可能就会被轻易越过，那么企业私有云安全边界是需要动态的变化，还是像传统安全边界一样面临挑战?

　　同时，企业正在不断提升其安全系统的级别，即高级安全系统的构建。那么这样的系统需要可信，基于信誉，智能感知，背景感知，自动化管理，对安全策略的动态部署等等。简言之，完全打破人工对安全的更新、维护、管理，尽量节约人工成本。那么问题就出现了，满足云的安全自动化的能力与目前企业的人工安全实践并不匹配，企业是该牵强的附和云的自动化要求，强上安全自动化，还是等待技术进一步完善，在安全与云基础设施完全匹配前，平衡更多的条件和因素?据笔者了解，在未来发布的新版本《云计算关键领域安全指南》中，将有专门的主题，讨论企业私有云安全的内容。